练习 51:lessweb

原文:Exercise 51: lessweb

译者:飞龙

协议:CC BY-NC-SA 4.0

自豪地采用谷歌翻译

我们很接近这本书的末尾了,所以在最后两个练习中我将给你一个项目。你将要创建一个 Web 服务器。在本练习中,你只需了解 Python http.server模块以及如何创建简单 Web 服务器来使用它。我将给你指示,然后让你阅读文档来了解如何实现它。这里没有太多的指导,因为现在你应该可以自己做大部分的事情。

创建 Web 服务器后,你将会编写一组测试,来尝试破坏你的 Web 服务器。我将在“破坏它”部分中为你提供一些指导,但现在你应该非常乐意在你编写的代码中找到缺陷。

挑战练习

你需要阅读 Python 3 的http.server文档来起步。你还应阅读 Python 3 的http.client文档以及requests的文档。你将使用requestshttp.client为你创建的http.server编写测试。

接下来,你的工作是使用http.server创建一的 Web 服务器,可以执行以下操作:

  • 从配置文件中进行配置
  • 一直运行并处理收到的请求
  • 提供配置目录中的文件
  • 响应网站的请求并提供正确的内容
  • 记录所有进入文件的请求,以便之后读取

如果你阅读文档中的示例,你大概可以以基本的方式,让大部分东西都工作。这个练习的一部分是,如何 Hack 一个朴素的 Web 服务器,所以你应该只是让它能够工作,然后我们将转到下一部分。

破坏它

你在本节中的工作是,以任何方式攻击你的 Web 服务器。你可以从 OWASP 十大漏洞列表开始,然后继续进行其他常见攻击。你还将阅读 Python 3 os模块文档来实现一些修复。这是一个额外的错误列表,我敢肯定你会犯这些错误:

  • 非预期的目录遍历。你可能从URL(/some/file/index.html)中获取基本路径,仅仅按照请求打开它。也许你在操作系统上添加了文件的完整路径(/Users/zed/web/some/file/index.html),并认为你做得很好。尝试使用..路径说明符来访问此目录外的文件。如果你可以请求/../../../../../../../../etc/passwd,那么你赢了。尝试解释为什么会发生这种情况,以及你可以如何解决这个问题。
  • 没有处理非预期的请求。你最有可能寻找GETPOST,但如果有人执行HEADOPTIONS,会发生什么?
  • 发送一个巨大的 HTTP 协议头。看看你是否可以通过发送一个非常大的 HTTP 请求头,使 Python http.server崩溃或减慢速度。
  • 请求未知域时不会出现错误。有些人认为它是一个功能(咳咳,Nginx),当服务器无法识别域时,会提供“随机”网站。你的服务器应该只是白名单,如果它不识别该域,它应该给出 404 错误。

这些只是人们所犯的一些小错误。研究尽可能多的其他人,然后为你的服务器编写自动化测试,以便在你解决问题之前展示它们。如果你的服务器中找不到任何这些错误,那么故意创建它们。了解如何犯下这些错误也是有益的。

研究性学习

阅读 Python 3 os文档中的os.chroot函数。
研究如何使用这个函数和其他os模块的函数来创建“根目录限制”。
使用os中的许多函数以及你可以找到的任何模块,重写你的服务器,来正确地实现“根目录限制”,并丢弃权限变成安全用户(而不是 root)。在 Windows 上,这可能非常困难,所以要么在 Linux 计算机上尝试,要么完全跳过它。