代码之家  ›  专栏  ›  技术社区  ›  Ng Oon-Ee

金字塔/wsgi操作系统的安全影响。环境后门?

dev-to-production environment pyramid security python
  •  2
  • Ng Oon-Ee  · 技术社区  · 8 年前

    在我的pyramid应用程序中,能够以任何用户的身份登录(用于测试/调试,而不是在生产中)非常有用。我的正常登录过程只是对散列密码进行简单的bcrypt检查。

    基本上我希望检查操作系统。特定变量“debug”的环境(从apache通过mod\u wsgi加载的debug.wsgi文件中设置)。如果它存在,那么我将允许使用任何密码登录(对于任何用户),绕过密码检查。

    这对安全有什么影响?据我所知,当apache加载时,wsgi文件只需源代码一次,因此,如果生产。wsgi文件没有设置那个特定的变量,攻击者(或不称职的用户)欺骗它的可能性有多大?

    1 回复  |  直到 8 年前
        1
  •  1
  •   Fabien    8 年前

    为了在环境中实例化具有该调试功能的服务器应用程序,攻击者必须交出您的Web服务器,很可能具有管理权限。

    在外部进程中,攻击者无法修改加载到内存中的正在运行的服务器的环境,至少在没有调试功能和良好的重写内存负载的情况下。只需重新加载服务器或尝试在其中执行脚本就更容易了。

    推荐文章
    Taylor Childers  ·  在现有安装的基础上创建Conda环境
    7 年前
    Matthijs van Kesteren  ·  无法在conda环境中安装bioconda软件包
    7 年前
    Mr. Developerdude  ·  如何使用父Docker文件中的环境变量?
    7 年前
    Manu  ·  Azure APIM在一个实例中设置多个环境
    7 年前
    Jay Chakra  ·  JAVA中的环境变量(tomcat)
    7 年前
    IgorAlves  ·  如何在Docker容器中设置要重写的Dockerfile内的变量ENV?
    7 年前
    Crank  ·  管理多个项目的元构建解决方案
    7 年前
    Japhir  ·  生成ggplot并从函数调用返回输出
    7 年前
    user7075468  ·  使用CLI运行脚本时PHP中的标识环境
    8 年前
    Ng Oon-Ee  ·  金字塔/wsgi操作系统的安全影响。环境后门?
    8 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号