带你认识Python中黑客喜欢攻击的几个安全漏洞以及应对办法
发布时间:2022-07-12 09:36:28 所属栏目:安全 来源:互联网
导读:编写安全代码是一件很难的事情。Python也不例外,即使在标准库中,也有记录在案的编写应用程序的安全漏洞。下面是Python应用程序中最常见的10个安全陷阱以及相关解决办法。 如何修复: 如果您正在使用web框架,那么可以使用web框架附带的实用工具来清理输入
|
编写安全代码是一件很难的事情。Python也不例外,即使在标准库中,也有记录在案的编写应用程序的安全漏洞。下面是Python应用程序中最常见的10个安全陷阱以及相关解决办法。 如何修复: 如果您正在使用web框架,那么可以使用web框架附带的实用工具来清理输入。除非您有很好的理由,否则不要手工构造SQL查询。 对于shell,使用shlex模块正确地转义输入。 解析XML 如果您的应用程序曾经加载并解析过XML文件,那么您很可能正在使用XML标准库模块之一。通过XML有一些常见的攻击。大部分是Dos风格的(用来崩溃系统而不是过滤数据)。这些攻击很常见,尤其是在解析外部(即不受信任的)XML文件时。 其中一个被称为“十亿个laugh”,因为有效载荷通常包含大量(数十亿)“lols”。基本上,这个想法是您可以在XML中执行引用实体,因此当您的低调的XML解析器试图将这个XML文件加载到内存中时,它将消耗千兆字节的RAM。如果你不相信,那就试试吧:-) 另一种攻击使用外部实体扩展。XML支持从外部url引用实体,XML解析器通常会毫无顾虑地获取和加载该资源。“攻击者可以绕过防火墙,访问受限制的资源,因为所有的请求都是由内部可靠的IP地址发出的,而不是来自外部。” 另一种需要考虑的情况是依赖于解码XML的第三方包,比如配置文件和远程api。您甚至可能没有意识到,您的某个依赖项可能会受到这些类型的攻击。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号