2024-04-28 15:22:27 发布
网友
对于Pyramid,是否有任何类型的自动安全扫描程序?在
我在其他框架中看到过这些,比如用于Rails的Brakeman。如果有一个金字塔(甚至是一般的Python),那就太棒了。在
再说一次,如果没有,我也不会感到惊讶,因为它没有Rails那么受欢迎。在
我不确定金字塔或任何Python应用程序是否是安全扫描程序的好目标。我正在阅读this list,我不确定这些问题是否适用于pythonweb应用程序。不过,这是个有趣的主意。在
像Pyramid这样的框架应该有安全的默认值,这样OWASP最常见的10个漏洞就不会出现在第一位。在
使用SQLALchemy或Django ORM可防止SQL注入
默认情况下,模板引擎执行安全的HTML转义
不安全的序列化(Python pickling)是不存在的,因为大多数代码使用JSON
我没见过有人用Python做eval(),但这并不意味着某个地方的某个可怜的灵魂不会做这件事
eval()
等等。
然而,新手程序员肯定会对这类问题束手无策,通过自动扫描程序捕捉手工编码的SQL字符串或eval()用法是有意义的。但我的直觉是,与各种Python web项目和安全性打交道超过10年,在Python世界中,情况更为稳定,使用安全扫描器获得的收益将非常小或根本不存在。在
我不确定金字塔或任何Python应用程序是否是安全扫描程序的好目标。我正在阅读this list,我不确定这些问题是否适用于pythonweb应用程序。不过,这是个有趣的主意。在
像Pyramid这样的框架应该有安全的默认值,这样OWASP最常见的10个漏洞就不会出现在第一位。在
使用SQLALchemy或Django ORM可防止SQL注入
默认情况下,模板引擎执行安全的HTML转义
不安全的序列化(Python pickling)是不存在的,因为大多数代码使用JSON
我没见过有人用Python做
eval()
,但这并不意味着某个地方的某个可怜的灵魂不会做这件事等等。
然而,新手程序员肯定会对这类问题束手无策,通过自动扫描程序捕捉手工编码的SQL字符串或
eval()
用法是有意义的。但我的直觉是,与各种Python web项目和安全性打交道超过10年,在Python世界中,情况更为稳定,使用安全扫描器获得的收益将非常小或根本不存在。在相关问题 更多 >
编程相关推荐