8
Tôi đang duy trì một ứng dụng Django 1.5 sản xuất.Đảm bảo tải JSON, XML và YAML an toàn trong dự án Django
Gần đây, có rất nhiều tiếng ồn về các lỗ hổng khác nhau liên quan đến tải các đối tượng JSON, XML và YAML. Nếu tôi hiểu chính xác, đầu vào đã được chế tạo cẩn thận để khai thác các lỗi trong các chức năng tải.
Bây giờ, tôi không biết Django (hoặc hàng tá ứng dụng của bên thứ ba mà chúng tôi sử dụng) sử dụng từng giao thức này. Làm thế nào tôi có thể được an toàn từ các lỗ hổng như vậy? Tôi có cần đảm bảo rằng Django đang tải JSON, XML và YAML một cách an toàn không?
Đảm bảo rằng Django đang tải JSON, XML và YAML một cách an toàn là công việc của nhà phát triển Django. Tôi có thể đảm bảo với bạn, có thể có nhiều vấn đề bảo mật hơn trong mã của bạn hơn là trong Django (mặc dù những thứ đó rõ ràng có tác động nhiều hơn và có nhiều khả năng được tìm thấy hơn). – delnan
Bạn đề cập đến tiếng ồn gì? Bất kỳ liên kết nào về chi tiết cụ thể? –
Tôi tin rằng anh ấy đang nói về [Khai thác YAML của Rails] (http://rubysource.com/anatomy-of-an-exploit-an-in-depth-look-at-the-rails-yaml-vulnerability/) và [Thư viện XML của Python phân tích các vectơ tấn công DOS] (http://blog.python.org/2013/02/announcing-defusedxml-fixes-for-xml.html). –