加载中…
正文 字体大小:

python新发现的漏洞

(2018-11-09 15:46:10)

PyPI上发现了更多的排印恶意软件
2018年10月31日,pythonpythonmike
恶意软件最近在针对Windows用户的Python打包索引中被发现。这个软件包被称为colourama,如果它已经安装好了,那么它最终会在你的电脑上安装恶意软件。它基本上是希望你会拼错流行的colorama pacakge。
你可以在媒体上读到更多关于这个恶意软件的信息,它描述这个恶意软件是一个“密码货币剪贴板劫持者”。
去年斯洛伐克国家安全办公室在Python打包索引中发现了几个恶意库时,我也写了关于这个问题的文章。
我本周注意到,Python软件基金会正在考虑在2019年向PyPI添加安全功能,他们在博客上宣布了这一消息,但目前似乎没有说明将添加何种安全功能。

本周我们欢迎Anthony Sottile (@codewithanthony)成为本周PyDev !安东尼是托克斯和pytest包的维护者之一。他也是“死蛇”PPA团队的一员,该团队为某些EOL Linux发行版支持Python。虽然你可以在安东尼的网站上找到一些关于他的信息,但你可能会从他的Github资料中了解更多。
你能介绍一下你自己吗(爱好、教育等):
我从小就对电脑着迷。我最早的一些程序是为了简化家庭作业而编写的。一个包含使用visual basic进行基本的二次公式求解gui界面的word文档被复制到相当多的软盘上。我最终转向了web开发,因为它是一种更容易访问的发布机制。
我最初在密歇根大学学习生物化学。我想通过医学和研究来改变世界,但两年之后我决定转向我更强烈的激情。在紧张地将四年的课程挤进两年之后,我获得了计算机科学学位!
我的大部分私人时间都花在了骑自行车上(我小心翼翼地用一个花哨的电子表格记录下来——今年我跑了4600英里)。我的其他一些爱好是徒步旅行、烹饪、跑步、滑雪、拉小提琴和写一些诗(这是一个约会网站吗?)当然我花很大一部分时间构建和开源软件做出贡献
我最大的成就是成为神奇宝贝的主人——不仅完成了一个活的Pokedex,而且通过合法地捕捉每一个可能的闪亮的神奇宝贝来忍受极度的无聊。It’s一直下坡此后.继续阅读本周的PyDev: Anthony Sottile

解析 XML(Parsing XML)

如果你的应用程序要加载、解析 XML 文件,则你可能正在使用 XML 标准库模块。通过 XML 的攻击大多是 DoS 风格(旨在使系统崩溃而不是泄露数据),这些攻击十分常见,特别是在解析外部(即不可信任的)XML 文件时。http://www.yewuliu.cn批发官网http://www.hiry.cn/杏仁网站http://www.b5l.cn/专卖网站http://www.b5f.cn/钢木厂家http://www.xtjyy.com/垃圾桶批发http://www.hiry.net进口商品网站http://www.scxiling.com四川批发http://www.hiry.club专卖店http://www.hiry.cc制造厂http://www.coski.net厂家专卖店http://www.lahuoge.com拉货哥http://www/lahuoge.cn拉货哥同城网站 http://www.qijihu.com奇迹虎网站 http://www.qijihu.cn奇迹狐网站http://www.aijume.cn爱剧么导航http://www.aijume.com爱聚么网站http://www.hiry.tech科技公司


其中有个「billion laughs」,因为他的 payload 通常包含很多(十亿)「lols」。基本上,这个原理是可以在 XML 中使用参照实体,所以当解析器将这个 XML 文件加载到内存中时,它会消耗数 G 大小的内存(RAM)。

试试看,如果你不相信我的话 :-)

0

阅读 评论 收藏 转载 喜欢 打印举报/Report
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

      

    新浪BLOG意见反馈留言板 电话:4006900000 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有