我一直在自己的网站上进行一些渗透测试,并且已经针对常见漏洞进行了大量研究。
SQL注入出现了很多,但我想知道,可能有像python注入这样的东西吗?比如说一个Web表单提交了一个在某个python后端应用程序中的字典中输入的值。如果输入没有得到正确处理,可以在应用程序中注入和执行python代码吗?
是否有办法轻松无害地测试此漏洞 - 如果它确实是一个潜在的漏洞?我似乎无法在这个主题上找到很多网络资源。
答案 0 :(得分:0)
这完全取决于您使用webform的输入做什么。在正常使用中,表单被编码为ndk-build
或x-www-form-urlencoded
- 两种格式可以完全安全地反序列化为python字典。当然,他们也可以以不安全的方式进行反序列化 - 确保使用专门处理此问题的库(例如json
或urlparse
)。
从那里,输入是否安全完全取决于应用程序对它的作用。 (例如,如果应用程序使用基于已解码字典的输入json
,则不安全。)
至于对此的自动化测试 - 我不知道有任何方法可以实现这一点,但这些问题通常很容易通过遵循正常的最佳实践来缓解(不要eval
代码你不信任等等。)