【发布时间】:2015-12-18 00:33:34
【问题描述】:
是否有针对 Pyramid 的任何类型的自动安全扫描程序?
我已经在其他框架中看到了这些,例如用于 Rails 的 Brakeman。如果有一个 Pyramid(甚至是一般的 Python),那就太好了。
再说一次,如果没有,我也不会感到惊讶,因为它不像 Rails 那样受欢迎。
【问题讨论】:
【发布时间】:2015-12-18 00:33:34
【问题描述】:
我不确定 Pyramid 或任何 Python 应用程序是否是安全扫描器的好目标。我正在阅读this list,我不确定这些问题是否非常适用于 Python Web 应用程序。不过这个想法很有趣。
框架,如 Pyramid,应该有安全的默认值,这样 OWASP 最常见的 10 个漏洞就不会发生。
使用 SQLALchemy 或 Django ORM 可防止 SQL 注入
默认情况下,模板引擎会进行安全的 HTML 转义
不存在不安全的序列化(Python 酸洗),因为大多数代码使用 JSON
我没有看到有人在 Python 中使用
eval(),但这并不意味着某个地方的某个可怜的人不会这样做等
但是,新手程序员肯定会遇到此类问题,并且通过自动扫描程序捕获手动编码的 SQL 字符串或 eval() 使用情况是有意义的。但我与各种 Python Web 项目和安全工作十多年来的直觉是,在 Python 世界中,事情的状态更加稳健,使用安全扫描程序的收益将非常小或根本不存在。
【讨论】:
-
你也可以对 Rails 做出同样的声明:) 人们仍然会关闭默认设置、绕过保护并编写不安全的代码。
-
ORM 很棒,但我还没有看到一个不需要绕过它并至少使用一次原始 SQL 查询的非平凡程序。模板引擎需要一种方法来通过受信任的 HTML,而这可能不是。以此类推。
-
此外,如果您是完美的并始终遵循最佳实践,安全扫描程序就不会对您大喊大叫。当您不这样做时,它们会在那里捕捉。