Python Hack详解(精编)电子书.pdf

Python Hack 北北(孙博) @ 知道创宇 ID ：北北 主要工作@知道创宇： Web安全研究、 相关产品后台核心引擎研发 目录 一、关于Python 二、Python Hack 1.不安全的配置 2.模块加载顺序竞争 3. Python中的Web攻击* 一、关于Python {‘Python的优点’ : [‘免费、开源’, ‘开发效率高’, ‘可移植性’, ‘解释性’, ‘面向对象’, ‘丰富的库’, ‘规范的代码’, ‘etc.’]} Python之父：Guido van Rossum {‘应用场景’ : [‘系统编程’, ‘图形处理’, ‘数学处理’, ‘文本处理’, ‘数据库编程’, ‘网络编程’, ‘多媒体应用’, ‘Web编程’, ‘etc.’]} 他们都在使用Python ： 二、Python Hack 1. 不安全的配置 当服务器支持Python ，可以对上传在web 目录中的 Python文件进行解释时，Python版的Webshell就 得以执行。 若权限配置不好的话，就会…… 1. 不安全的配置 某牛博客亮了… 1. 不安全的配置 各种目录各种权限… 1. 不安全的配置 Webshell部分源码： /evilcos/python-webshell 2. 模块加载顺序竞争 Python的可扩展特性造成 模块加载顺序的竞争问题 2. 模块加载顺序竞争 Python加载模块的先后顺序： 当前目录 - sys.path列表中的其他目录 一个典型的sys.path列表： [, /usr/lib/python2.6, /usr/lib/python2.6/plat-linux2, /usr/lib/python2.6/lib-tk, /usr/lib/python2.6/lib-old, /usr/lib/python2.6/lib-dynload, /usr/local/lib/python2.6/dist-packages, /usr/lib/python2.6/dist-pac