WTForm的URLXSS谈开源组件的安全性

作者: 分类: 网络安全 时间: 2016-9-2 23:01 评论: 3条评论 浏览: 1774人看过 标签: xss WTForm

    开源组件是我们大家平时开发的时候必不可少的工具,所谓『不要重复造轮子』的原因也是因为,大量封装好的组件我们在开发中可以直接调用,减少了重复开发的工作量。 开源组件和开源程序也有一些区别,开源组件面向的使用者是开发者,而开源程序就可以直接面向用户。开源组件,如JavaScript里的uploadify,php里的PHPExcel等;开源程序,如php写的wordpress、joomla,node.js写的ghost等。 就安全而言,毋庸置疑,开源组件的漏洞影响面远比开源软件要大。但大量开源组件的漏洞却很少出现在我们眼中,我总结了几条原因:

  1. 开源程序的漏洞具有通用性,很多可以通过一个通用的poc来测试全网,更具『商业价值』;而开源组件由于开发者使用方法不同,导致测试方法不统一,利用门槛也相对较高
  2. 大众更熟悉开源软件,如wordpress,而很少有人知道wordpress内部使用了哪些开源组件。相应的,当出现漏洞的时候人们也只会认为这个漏洞是wordpress的漏洞。
  3. 惯性思维让人们认为:『库』里应该不会有漏洞...

阅读全文>>

Top ↑ sitemap More