我不确定Pyramid或任何Python应用程序是否是安全扫描器的很好目标。我正在阅读这个列表,但我不确定其中的任何问题是否非常适用于Python Web应用程序。虽然这是一个有趣的想法。
像Pyramid这样的框架应该具有安全默认值,以便OWASP前10个最常见的漏洞在第一次发生时就不会发生。
使用SQLALchemy或Django ORM可以防止SQL注入
模板引擎默认进行安全的HTML转义
大多数代码使用JSON,不存在不安全的序列化(Python pickling)
我没有看到任何人在Python中使用eval()
,虽然这并不意味着某些可怜的人不会这样做
等等。
然而,新手程序员肯定会遇到这些问题,因此使用自动扫描程序来捕获手写的SQL字符串或eval()
使用是有意义的。但是,作为一个从事各种Python Web项目和安全工作超过十年的人,我的直觉是,在Python世界中,情况更加稳健,使用安全扫描器的收益非常小或不存在。