Tag: python

Ciekawy poradnik opisujący nieoczywiste błędy programistyczne w Pythonie. Raj dla pentesterów. Na zachętę kilka przykładów: >>> 999+1 is 1000 False >>> 1+1 is 2 True >>> 2.2 * 3.0 == 3.3 * 2.0 False >>> 10**1000000 > float(‘infinity’) False >>> float > float(‘infinity’) True –ms

Kilka dni temu w artykule o unpickle ogłosiliśmy konkurs, polegający na wykorzystaniu omawianej podatności w celu uzyskania XSS-a. Jeszcze tego samego dnia przyszło do nas pięć rozwiązań (ale najszybszy był Adam Dobrawy). W rozwiązaniach zastosowano trzy różne podejścia do problemu.

Niedawno poznaliśmy na Sekuraku podatność PHP Object Injection, gdzie niefiltrowana deserializacja danych mogła prowadzić do różnorakich problemów z bezpieczeństwem w zależności od klas używanych w aplikacji. W tym zaś artykule zobaczymy, że analogiczna podatność w Pythonie gwarantuje zdalne wykonywanie kodu.

W poprzednim wpisie poświęconym tworzeniu narzędzi w Pythonie przedstawiłem kilka prostych skryptów korzystających z modułów sys, os oraz httplib. W tym wpisie “zejdziemy” nieco niżej i zobaczymy, jak tworzyć skrypty, które komunikują się z siecią przez sockety.

Język Python to interpretowany język skryptowy obecny praktycznie we wszystkich liczących się dzisiaj systemach operacyjnych. Jego uniwersalność sprawia, że jest także jednym z częściej wybieranych przez specjalistów od bezpieczeństwa języków służących do pisania narzędzi przydatnych w tej dziedzinie.