Является ли инфраструктура Django уязвимой для локального включения файлов (LFI) и удаленного включения файлов (RFI)?

Question

Является ли инфраструктура Django уязвимой для локального включения файлов (LFI) и удаленного включения файлов (RFI)?

Как в php, include() метод и allow_url_include может быть уязвимым для LFI и RFI.

Включает ли django уязвимость для lfi и RFI?

2

python django remote-file-inclusion local-file-inclusion

Источник

user10841451 28 дек '18 в 04:02

1 ответ

Другие вопросы по тегам python django remote-file-inclusion local-file-inclusion

user464744 28 дек '18 в 05:51 2018-12-28 05:51 · Answer 1 · 2018-12-28 05:51

Нет, если вы не возитесь с загрузчиками шаблонов по умолчанию. Джанго не позволяет тебе include файлы, расположенные вне папок шаблонов приложения, и делают все возможное, чтобы вы не касались внешних файлов с помощью встроенных операций.

Как общее практическое правило, не помешает полностью изолировать код приложения от пути, по которому пользователь может загружать файлы, а также обеззараживать и сокращать взаимодействия, предоставляемые пользователем, с потенциально опасными функциями.