代码拉取完成,页面将自动刷新
lessweb
译者:飞龙
自豪地采用谷歌翻译
我们很接近这本书的末尾了,所以在最后两个练习中我将给你一个项目。你将要创建一个 Web 服务器。在本练习中,你只需了解 Python http.server模块以及如何创建简单 Web 服务器来使用它。我将给你指示,然后让你阅读文档来了解如何实现它。这里没有太多的指导,因为现在你应该可以自己做大部分的事情。
创建 Web 服务器后,你将会编写一组测试,来尝试破坏你的 Web 服务器。我将在“破坏它”部分中为你提供一些指导,但现在你应该非常乐意在你编写的代码中找到缺陷。
你需要阅读 Python 3 的http.server文档来起步。你还应阅读 Python 3 的http.client文档以及requests的文档。你将使用requests或http.client为你创建的http.server编写测试。
接下来,你的工作是使用http.server创建一的 Web 服务器,可以执行以下操作:
如果你阅读文档中的示例,你大概可以以基本的方式,让大部分东西都工作。这个练习的一部分是,如何 Hack 一个朴素的 Web 服务器,所以你应该只是让它能够工作,然后我们将转到下一部分。
你在本节中的工作是,以任何方式攻击你的 Web 服务器。你可以从 OWASP 十大漏洞列表开始,然后继续进行其他常见攻击。你还将阅读 Python 3 os模块文档来实现一些修复。这是一个额外的错误列表,我敢肯定你会犯这些错误:
/some/file/index.html)中获取基本路径,仅仅按照请求打开它。也许你在操作系统上添加了文件的完整路径(/Users/zed/web/some/file/index.html),并认为你做得很好。尝试使用..路径说明符来访问此目录外的文件。如果你可以请求/../../../../../../../../etc/passwd,那么你赢了。尝试解释为什么会发生这种情况,以及你可以如何解决这个问题。GET和POST,但如果有人执行HEAD或OPTIONS,会发生什么?http.server崩溃或减慢速度。这些只是人们所犯的一些小错误。研究尽可能多的其他人,然后为你的服务器编写自动化测试,以便在你解决问题之前展示它们。如果你的服务器中找不到任何这些错误,那么故意创建它们。了解如何犯下这些错误也是有益的。
阅读 Python 3 os文档中的os.chroot函数。
研究如何使用这个函数和其他os模块的函数来创建“根目录限制”。
使用os中的许多函数以及你可以找到的任何模块,重写你的服务器,来正确地实现“根目录限制”,并丢弃权限变成安全用户(而不是 root)。在 Windows 上,这可能非常困难,所以要么在 Linux 计算机上尝试,要么完全跳过它。
此处可能存在不合适展示的内容,页面不予展示。您可通过相关编辑功能自查并修改。
如您确认内容无涉及 不当用语 / 纯广告导流 / 暴力 / 低俗色情 / 侵权 / 盗版 / 虚假 / 无价值内容或违法国家有关法律法规的内容,可点击提交进行申诉,我们将尽快为您处理。