🖥 Полезное руководство о #! в Python

🟡Когда вы читаете чужой Python код, то часто видите загадочную строку, которая всегда появляется вверху файла и начинается с характерной последовательности shebang #!.

🟡Короче говоря, shebang — это комментарий особого типа, который вы можете включать в исходный код, чтобы указать оболочке операционной системы, где найти интерпретатор для остальной части файла:

#!/usr/bin/python3

print("Hello, World!")

🟡Если вы используете shebang, он должен размещаться в первой строке вашего скрипта и должен начинаться со знака решётки #, за которым следует восклицательный знак !, известный как bang, отсюда и название shebang.

🟡Shebang имеет отношение только к исполняемым сценариям, которые вы хотите выполнять без явного указания программы для их запуска. Обычно вы не помещаете shebang в модуль Python, который содержит только определении функций и классов, предназначенные для импорта из других модулей. Поэтому используйте shebang, если вы не хотите ставить перед командой, которая запускает ваш скрипт Python, префикс python или python3.

📎 Читать подробнее

@pythonl

💻 Уязвимость в библиотеке aiohttp уже привлекла внимание хакеров

🗄Исследователи предупреждают, что недавно исправленная уязвимость в Python-библиотеке aiohttp (CVE-2024-23334) уже взята на вооружение хакерами, включая вымогательские группировки, такие как ShadowSyndicate.

🗄aiohttp — это опенсорсная библиотека, построенная на основе I/O фреймворка Asyncio и предназначенная для обработки большого количества одновременных HTTP-запросов без традиционного потокового нетворкинга. aiohttp часто используется технологическими компаниями, веб-разработчиками, бэкенд-инженерами и специалистами по анализу данных для создания высокопроизводительных веб-приложений и сервисов, объединяющих данные из множества внешних API.

🗄В конце января 2024 года aiohttp обновилась до версии 3.9.2, в которой устранили уязвимость CVE-2024-23334. Это path traversal баг, затрагивающий все версии aiohttp (начиная с 3.9.1) и старше, который позволяет удаленным злоумышленникам без авторизации получить доступ к файлам на уязвимых серверах.

🗄Проблема связана с недостаточной проверкой при установке follow_symlinks в значение True для статичных маршрутов, что позволяет получить несанкционированный доступ к файлам за пределами статичного корневого каталога сервера.

🗄В конце февраля текущего года на GitHub появился PoC-эксплоит для CVE-2024-23334, а в начале марта на YouTube было опубликовано подробное видеоруководство по эксплуатации бага.

🗄Как теперь сообщают аналитики компании Cyble, их сканеры обнаруживают попытки эксплуатации CVE-2024-23334 начиная с 29 февраля, и атаки лишь усилились в марте. В основном попытки сканирования исходят с пяти IP-адресов, один из которых ранее был отмечен в отчете Group-IB и связан с вымогательской группировкой ShadowSyndicate.

@linuxkalii

🖥 Python Mini Projects: a collection of projects to help you improve your programming skills.


Мини-проекты на Python.

Коллекция простых небольших проектов на Python, которые помогут вам улучшить свои навыки программирования.

🖥 Github

@pythonl

🖥 Динамическое создание экземпляра класса из строки в Python

⏩Итак, для динамического создания экземпляра класса в Python можно использовать модуль importlib:

from importlib import import_module

module_name = 'your_module'  # Определите название своего модуля
class_name = 'YourClass'     # И название нужного вам класса

instance = getattr(import_module(module_name), class_name)()

Здесь функция import_module импортирует нужный модуль, getattr находит в нем класс, а () создает экземпляр этого класса.


⏩Полезно оформить процесс создания экземпляра класса в виде переиспользуемой функции. Это сэкономит ваше время и усилия:

def get_instance(module_name, class_name):
    try:
        module = import_module(module_name)
        class_obj = getattr(module, class_name)
        instance = class_obj()
        return instance
    except ImportError:
        print("Модуль отсутствует")
        return None
    except AttributeError:
        print("Класс не найден")
        return None

Логирование исключений помогает определить причины проблем с импортом или созданием экземпляров классов.

📎 Читать подробнее

@pythonl

🖥 Python for OSINT. 21-day course for beginners

Бесплатный курс по Python для OSINT специалистов.

Курс научит автоматизировать различные рутинные задачи, связанные с OSINT исследованиями: сбор данных с веб-сайтов, сбор результатов поиска, работа с интернет-архивами, создание отчетов и многое другое.

▪Github

@pythonl

🖥 Formcrawler: This script Crawls the website and finds the URLs that contain html forms.

Этот скрипт может сканировать веб-сайты и находить все ссылки, содержащие HTML-формы.

Очень полезно, чтобы находить формы для Blind XSS.

Blind XSS (Слепая XSS) — уязвимость, при которой хакер может внедрить скрипт на страницу, но не может увидеть его непосредственное выполнение.

Это может произойти, если веб-приложение выполняет обработку информации перед запуском протоколов безопасности, скрипт выполняется и может повлиять на других пользователей и инстурменты или нанести вред все системе.

⚙️Github

@pythonl