Ram*_*hum 8 python security django
我正在维护一个生产Django 1.5的应用程序.
最近,关于加载JSON,XML和YAML对象的各种漏洞存在很多噪音.如果我理解正确,输入是精心设计的,以利用加载函数中的错误.
现在,我不知道Django(或我们使用的数十个第三方应用程序)在哪里使用这些协议.我怎样才能安全抵御这些漏洞?我是否需要以某种方式确保Django安全地加载JSON,XML和YAML?
默认情况下,Django 不接受这些格式的用户编码输入,一般第三方应用程序也不会,但值得审核面向用户的部分以确保确定。最大的将是 API 提供商(Tastypie、Django REST Framework 等)。如果您使用的是当前版本,那么您应该是安全的,但值得测试/确认。
如果您要从这些格式加载应用程序中的任何内容,请务必使用defusedxmlYAMLsafe_load方法。标准库json模块应该免受此类攻击。
| 归档时间: |
|
| 查看次数: |
973 次 |
| 最近记录: |