本项目是记录自己在学习研究Python安全过程中遇到的优秀内容,包括Python代码审计资源以及Python开发的应用程序组件协议等的安全内容。一个不会Python攻击的黑客不是一个好师傅,一个不懂Python安全的师傅不是一个好黑客!深入理解Python安全,手握众多重点Python应用高危0day!作者:0e0w
本项目创建于2023年5月30日,最近的一次更新时间为2023年5月30日。本项目会持续更新,直到海枯石烂。
- 01-Python安全研究资源
- 02-Python安全研究工具
- 03-Python安全漏洞环境
- 04-Python安全漏洞分类
- 05-Python安全代码审计
- 06-Python安全漏洞修复
- 07-Python安全高危应用
- 08-Python安全参考资源
一、书籍资料
二、基础教程
三、视频教程
四、培训演讲
- 《基于python的自动化代码审计》@xfkxfk
- 《python动态代码审计》@聂兴明
- 《Python Hack》@北北(孙博)
五、专利文献
六、审计报告
七、其他资源
- https://github.com/bit4woo/python_sec
- https://github.com/MisakiKata/python_code_audit
- https://www.freebuf.com/articles/web/256544.html
- https://blog.csdn.net/SouthWind0/article/details/128346851
- https://toutiao.io/posts/owju7iy/preview
- https://tttang.com/archive/1885/
- https://blog.51cto.com/csnd/5888007
- https://github.com/topics/static-analysis?l=Python
- https://github.com/niexinming/python_hook
- https://github.com/SafeBreach-Labs/pyekaboo
- https://github.com/PyCQA/bandit
- https://github.com/python-security/pyt
- https://github.com/davidhalter/jedi
- https://github.com/google/pytype
- https://github.com/rubik/radon
- https://github.com/pschanely/CrossHair
- https://github.com/pyupio/safety
- https://github.com/landscapeio/prospector
- https://github.com/search?q=cms+language%3APython&type=repositories&l=Python
- https://github.com/cms-dev/cms
- https://github.com/osroom/osroom
本部分详细列举常见的Python安全漏洞内容。
- 程序安装问题
- 业务逻辑漏洞
- SQL注入漏洞
- 变量覆盖漏洞
- 任意文件上传漏洞
- 任意文件写入漏洞
- 任意文件删除漏洞
- 任意文件包含漏洞
- 任意命令执行漏洞
- Python反序列化漏洞
- XSS跨站脚本攻击
- XML外部实体攻击
- CSRF跨站请求伪造
- SSRF服务端请求伪造
一、Python安全Web漏洞
二、Python代码审计实战
一、Python安全编码规范
二、Python安全漏洞修复