版本安全高亮

未匹配的标注

发布

简介

Masonite 十分重视安全性,希望安全漏洞完全透明,因此我们详细记录每个安全版本以及如何修补或修复它。

2.1.2

问题

此版本涉及 2 个问题。第一个问题是输入数据未被正确清理,因此如果开发人员直接从控制器返回,则存在 XSS 漏洞。

另一个问题是,对于可以使用上传功能上传的内容,没有过滤器。磁盘驱动程序将允许上传任何文件类型,包括 exe,jar 文件,app 文件等。

没有相关报道。这些都是通过分析代码和可能存在的漏洞主动捕获的。

修复

对输入问题的修复方法只是在将输入存储到请求字典中之前对其进行转义。我们使用了 Python 附带的 html 核心模块,并创建了一个要在其他地方使用的 helper 函数。

对文件类型问题的修复方法是将所有上传内容限制为图像,除非通过使用accept方法另外明确声明。

补丁

此修补程序只是简单地升级到 2.1.3 和如果需要上传的文件类型不是图像请明确说明,如下所示:

def show(self, upload: Upload):
    upload.accept('exe', 'jar').store('...')

应限制接受这些文件的选项,并由开发人员谨慎地构建应用程序。

本文章首发在 LearnKu.com 网站上。

本译文仅用于学习和交流目的,转载请务必注明文章译者、出处、和本文链接
我们的翻译工作遵照 CC 协议,如果我们的工作有侵犯到您的权益,请及时联系我们。
上一篇 下一篇
Summer
贡献者:1
讨论数量: 0
发起讨论 只看当前版本


暂无话题~