資安宣導 — 用 secure_filename 強化檔案上傳的安全
現代很多應用都需要實作檔案上傳的功能,例如上傳使用者圖像、上傳 CSV 表格等等,不過檔案上傳也是很容易造成資安漏洞的一項功能,一旦寫得不好,就會給惡意人士製造機會入侵系統,甚至成為散佈惡意軟體的中繼站。
本文將說明 1 個檔案上傳功能的資安問題以及如何進行防禦。
Posted on Jan 18, 2024 in Python 程式設計 - 中階 , Python 資訊安全 by Amo Chen ‐ 2 min read
Python 資訊安全
資安宣導 — 為什麼使用 PyYaml 解析 YAML 時要使用 safe_load 才對
對於任何來自未受信任來源的資料,我們都必須假設它可能含有惡意的內容。
就連 YAML 檔也是一樣的!
Posted on Jan 15, 2024 in Python 程式設計 - 中階 , Python 資訊安全 by Amo Chen ‐ 1 min read
用 Bandit 靜態掃描工具,掃描 Python 專案中的安全性問題
這陣子看了 10 common security gotchas in Python and how to avoid them , 該文章主要介紹幾種撰寫 Python 程式時需注意的安全問題,例如處理來自外部的 XML, YAML 檔案等可能會面臨的安全性問題,相當值得一讀,保證精彩。
該文的最後也介紹一款 Python 的靜態掃描工具 Bandit , 幫助我們找出程式內可能的漏洞或問題。
Last updated on Apr 16, 2024 in Python 模組/套件推薦 , Python 資訊安全 by Amo Chen ‐ 2 min read