2024-05-17 17:59:45 发布
网友
我在自己的网站上做了一些渗透测试,并对常见的漏洞做了很多研究。
SQL注入出现了很多,但我想知道,是否可能存在python注入这样的东西?例如,假设一个web表单提交了一个值,该值是在某个python后端应用程序的字典中输入的。如果没有正确地处理输入,python代码是否有可能在应用程序中被注入和执行?
如果这确实是一个潜在的漏洞,是否有办法轻松、无害地测试此漏洞?我似乎找不到很多关于这个主题的网络资源。
这完全取决于您使用webform的输入所做的工作。在正常使用中,表单被编码为x-www-form-urlencoded或json——这两种格式都可以安全地反序列化到python字典中。当然,它们也可能以不安全的方式被反序列化——确保您使用专门用于正确处理这个问题的库(例如urlparse或json)。
x-www-form-urlencoded
json
urlparse
从这里开始,输入是否安全完全取决于应用程序如何处理它。(例如,如果应用程序对基于解码dict的输入使用eval,则它是而不是安全的)。
eval
至于这方面的自动化测试——我不知道有什么方法可以实现这一点,但这些问题通常很容易通过遵循常规的最佳实践来缓解(不要使用不信任的代码,等等)
这完全取决于您使用webform的输入所做的工作。在正常使用中,表单被编码为
x-www-form-urlencoded
或json
——这两种格式都可以安全地反序列化到python字典中。当然,它们也可能以不安全的方式被反序列化——确保您使用专门用于正确处理这个问题的库(例如urlparse
或json
)。从这里开始,输入是否安全完全取决于应用程序如何处理它。(例如,如果应用程序对基于解码dict的输入使用
eval
,则它是而不是安全的)。至于这方面的自动化测试——我不知道有什么方法可以实现这一点,但这些问题通常很容易通过遵循常规的最佳实践来缓解(不要使用不信任的代码,等等)
相关问题 更多 >
编程相关推荐