Pyramid是否有任何类型的自动安全扫描程序?
我已经在其他框架中看到了这些,比如Rails的Brakeman。如果有一个金字塔(甚至是Python),那真的很棒。
然后,如果没有,我不会感到惊讶,因为它不像Rails那么受欢迎。
答案 0 :(得分:1)
我不确定Pyramid或任何Python应用程序是否是安全扫描程序的非常好的目标。我正在阅读DoCmd.TransferSpreadsheet,我不确定这些问题是否适用于Python Web应用程序。这虽然很有意思。
像Pyramid这样的框架应该有安全的默认设置,这样OWASP最常见的10个最常见的漏洞不应该首先发生。
使用SQLALchemy或Django ORM可防止SQL注入
默认情况下,模板引擎可以安全地进行HTML转义
不安全的序列化(Python pickling)不存在,因为大多数代码都使用JSON
我没有看到任何人在Python中使用DoCmd.TransferSpreadsheet acExport, acSpreadsheetTypeExcel9, _
"Select * from TableName where criteria1='True'","C:\Temp\MyFileName.xls"
,虽然这并不意味着某个地方的某些可怜的灵魂不会这样做
等
然而,新手程序员肯定可以自己解决这些问题,抓住手写的SQL字符串或eval()使用自动扫描程序是有意义的。但我十多年来一直在使用各种Python Web项目和安全性的感觉是,在Python世界中,问题的状态更加强大,使用安全扫描程序获得的收益将非常小或不存在。