为了直观体现代码审计思想,对漏洞情景进行了简化。
前提:漏洞理应存在于所有语言之中,如果面对完全陌生的全新语言,有哪些思路可以帮助我们察觉漏洞?本文将帮助你更深刻地领悟漏洞的成因,提升代码审计水平。
一,安全标准不一致
一门新的编程语言,作为后端处理程序,肯定是需要与中间件/数据库等其他模块相联系的,如果它们对待请求的安全标准不同,就可能导致安全问题。下面我们用一些已知语言的例子来演示这一点。
案例一WSGI与中间件不一致
WSGI作为桥梁连接中间件和应用程序,而作为应用程序的这个全新的编程语言也会在这一环节安全问题。
WSGI与中间件具有重合的管辖领域,或者WSGI与应用程序具有重合的管控范围,就可能出现问题。以nginx+gunicorn为例。gunicorn是在中间件和pytho之间的一个桥梁,它是图中WSGI的一种,也可以处理