金字塔/ Python安全扫描器?

时间:2015-12-15 21:36:01

标签: python security pyramid

Pyramid是否有任何类型的自动安全扫描程序?

我已经在其他框架中看到了这些,比如Rails的Brakeman。如果有一个金字塔(甚至是Python),那真的很棒。

然后,如果没有,我不会感到惊讶,因为它不像Rails那么受欢迎。

1 个答案:

答案 0 :(得分:1)

我不确定Pyramid或任何Python应用程序是否是安全扫描程序的非常好的目标。我正在阅读DoCmd.TransferSpreadsheet,我不确定这些问题是否适用于Python Web应用程序。这虽然很有意思。

像Pyramid这样的框架应该有安全的默认设置,这样OWASP最常见的10个最常见的漏洞不应该首先发生。

  • 使用SQLALchemy或Django ORM可防止SQL注入

  • 默认情况下,模板引擎可以安全地进行HTML转义

  • 不安全的序列化(Python pickling)不存在,因为大多数代码都使用JSON

  • 我没有看到任何人在Python中使用DoCmd.TransferSpreadsheet acExport, acSpreadsheetTypeExcel9, _ "Select * from TableName where criteria1='True'","C:\Temp\MyFileName.xls" ,虽然这并不意味着某个地方的某些可怜的灵魂不会这样做

然而,新手程序员肯定可以自己解决这些问题,抓住手写的SQL字符串或eval()使用自动扫描程序是有意义的。但我十多年来一直在使用各种Python Web项目和安全性的感觉是,在Python世界中,问题的状态更加强大,使用安全扫描程序获得的收益将非常小或不存在。