2
是否有適用於Pyramid的自動安全掃描儀?金字塔/ Python安全掃描器?
我已經看到了其他框架的這些,如用於Rails的Brakeman。如果有一個金字塔(或者一般的Python),那真是太棒了。
然後,如果沒有,我不會感到驚訝,因爲它不像Rails那麼受歡迎。
A
回答
1
我不確定Pyramid或任何Python應用程序是否非常適合安全掃描程序。我正在閱讀this list,我不確定這些問題是否適用於Python Web應用程序。不過這是個有趣的想法。
像金字塔這樣的框架應該有安全的默認設置,這樣OWASP十大最常見的漏洞不應該首先發生。 SQLAlchemy的或者Django的ORM的
使用防止SQL注入
模板引擎默認情況下,做安全的HTML逃生
不安全的序列化(Python的酸洗)是不存在的,因爲大多數代碼使用JSON
我還沒有看到任何人在Python中做
eval(),雖然這並不意味着某個可憐的靈魂某處不會這樣做等
但是新手程序員肯定能拍出自己與這些類型的問題,給足它將使感通過自動掃描儀捕捉硬編碼的SQL字符串或eval()使用。但是我十多年來一直在與各種Python Web項目和安全性合作的感覺是,在Python世界中,問題的狀態更加健壯,使用安全掃描程序的好處將會非常小或不存在。
相關問題
- 1. Java掃描儀/陣列金字塔
- 2. Python金字塔與字母
- 3. Apache服務器安全和cPanel掃描?
- 4. SVN服務器安全掃描工具
- 5. 中斷安全組掃描
- 6. Python金字塔解析JSON
- 7. Python cv2圖片金字塔
- 8. Python金字塔遍歷
- 9. 金字塔
- 10. 金字塔和燒杯:ValueError:不安全的字符串泡菜
- 11. 如何使用Fortify安全掃描軟件掃描JS文件
- 12. 金字塔:sqlalchemy.exc.OperationalError
- 13. 金字塔
- 14. 金字塔subrequests
- 15. 金字塔,由
- 16. 數字金字塔Python編號
- 17. 安裝條碼掃描器
- 18. C程序打印全金字塔
- 19. 基於記錄屬性的金字塔安全
- 20. 金字塔/ wsgi os.environ後門的安全隱患?
- 21. 如何測試金字塔安全設置?
- 22. 從金字塔FileResponse下載NamedTemporaryFile安全嗎?
- 23. 全表掃描或索引掃描
- 24. Python wsgi網站掃描器
- 25. Python端口掃描器
- 26. 金字塔,飛鏢,setuptools
- 27. Python,URL掃描
- 28. 安裝金字塔和分發Mac上
- 29. 如何安全掃描碼頭圖像?
- 30. 的JavaScript的Acunetix安全掃描警告
您可以對Rails進行完全相同的說明:)人們仍然關閉默認設置,繞過保護並編寫不安全的代碼。 – Justin
ORM非常棒,但我還沒有看到一個不重要的程序,它不需要繞過它,並至少使用一次原始SQL查詢。模板引擎需要通過可信HTML傳遞的方式,這可能不是。等等。 – user5670247
此外,如果您是完美的並且始終遵循最佳做法,那麼安全掃描程序不會對您大叫。當你不這樣做的時候,他們會趕上。 – user5670247