Python系统审计
运维安全
端口开放
1、自定义端口
2、通用端口
弱口令
1、数据库弱口令
2、redis&memcache
3、共享中间件
4、Nsf0cus!@#
debug开关
1、`\
2、django settings.py Debug=True
svn或git信息泄露
涉密存储传输
1、用base64加密码密码
2、私钥存储,权限
代码角度
XSS
1、属性动态内容
2、mark_safe,autoescape
3、dom类型
4、httpresponse返回动态内容
CSRF
1、CSRF中间件
2、表单csrf_token
3、相应view函数
命令注入<1>
1、os系列命令
2、commands系统命令
3、subprocess,shell=True
路径穿越
1、未考虑../
2、任意文件下载
3、任意文件删除
4、任意文件写入
文件上传
1、前端js控制不起作用
2、文件后缀白名单
3、文件大小控制,防dos
4、上传文件改名,rand()
5、注意上传过程中的条件竞争