security - 我购买的 Python/Javascript 文件中是否存在恶意软件?
问题描述
我最近从 Fiverr 购买了一个 django-react 代码。我对Web开发不太了解。这可能只是偏执狂,但这类文件中是否可能存在一些恶意恶意软件。如果我运行服务器,那么我运行它的电脑可能会发生什么事情?
解决方案
简短的回答,HTML、PY、JS 等文件是否可能包含恶意内容,是的。如果您在 PC 上运行此服务器,任何恶意内容都会对运行它的 PC 造成不良影响,是的。
好的,这就是完成的可怕的一面。让我们更客观地考虑一下这个问题。让我们想想这些文件是如何包含恶意内容的,更重要的是你能做些什么。
- 作者故意将恶意代码写入文件
当然这是可能的,但在我看来不太可能。生产恶意软件的人正在寻找他们时间投资的回报。为您在 Fiverr 上的请求编写解决方案并包含恶意内容是一项巨大的投资,但回报却微乎其微。
另外,请记住,任何承包商/自由职业者都是在信任基础上建立自己的职业生涯的。如果他们被发现为客户编写恶意代码,那么他们的声誉就会受到影响。有一本关于你可以信任谁的好书?其中详细介绍了对共享商品和服务的平台的信任。
如果您确实想检查代码中的问题,那么我会使用静态代码分析器(例如 Fortify)和渗透测试。
- 作者包含了一个包含恶意内容的开源模块
在我看来,这种可能性更大。过去曾出现过通过共享机制(例如 NPM)发布的模块包含恶意内容的示例。这里有几个例子:
好消息是,您可以很容易地检查已知问题。例如,由于您有 JS 文件,我假设存在对 npm 的依赖,您可以使用npm-audit检查依赖关系以获取安全建议。
总之,在您的位置上,我首先要确保代码使用的依赖项没有任何重要的安全建议。然后,如果系统足够重要,我会使用静态代码分析工具(例如 Fortify)来检查自定义代码。最后,对于一个面向公众的系统来说总是好的就是完成一个好的渗透测试。
这里的关键是考虑系统的风险状况,然后决定您需要/应该进行哪些投资以确保系统的安全性。这是一个获取敏感信息(例如银行/信用卡详细信息)的面向客户的系统,还是一个内部 Intranet 系统?第一个将需要更严格的安全检查,以确保您的客户安全。
推荐阅读
- asp.net -
- php - Creating jwt after signing with apple in php
- javascript - 如何通过搜索过滤嵌套数组
- macos - How to exclude a folder with CompareMerge?
- ubuntu - VSCode visualize dynamic arrays in debugger
- javascript - Keeping the position of an element with transform property when resizing the browser
- tensorflow - Pytorch CNN 模型:尺寸超出范围错误
- c# - c# How to Intercept "Save Print Output As" dialog in Revit
- asp.net - X509 Store throws error when published on server, but not when running on localhost ASP.NET CORE 5
- macos - 无法在 neovim、Iterm2 中复制