Риск безопасности системы очистки ссылок

Question

Я реализую систему очистки ссылок, такую ​​как функция общего доступа к Facebook, посредством которой пользователь вводит URL-адрес, который передается нашему серверу через ajax, а наш сервер затем запрашивает запрос (используя requests) и анализирует ответ html на Beautiful Soup для получения соответствующей информации о странице.

В этом типе системы, очевидно, человек может ввести любой URL-адрес, который им нужен. Я пытаюсь представить, какие типы угроз безопасности могут быть подвержены нашему серверу в этом типе сценария? Может ли такая установка быть злонамеренно использована?

Answer 1

Возможно, вы захотите убедиться, что ваш сервер не выполняет никаких плагинов или не копирует видео или изображения.

Javascript более сложный, если вы проигнорируете его, вы пропустите некоторые ссылки, если вы его выполнили, тогда вам лучше убедиться, что вы не используете что-то вроде отправки спама.

Если вы спрашиваете об этом, вы, вероятно, не уверены!

Answer 2

Вы должны сделать google на RFI/LFI (Удаленный/Локальный) Уязвимость к вложению файла и Iframe атак. Если вы будете в безопасности от этих двух атак, тогда вы добры.

Answer 3

Я построил немало небольших больших систем обхода изображений &. На самом деле не знаете, о каких угрозах безопасности вы говорите. Я не совсем понимаю ваши требования.

Но если все, что вы делаете, это принести HTML, используя BeautifulSoup & затем извлекая определенный материал о странице, как title тег & информации meta тегов и т.д. & затем хранить эти данные. Я не вижу никаких проблем.

Если вы не слепо делаете какой-то eval либо на отклик URL-адреса, либо на то, что вводил пользователь, вы в безопасности, я чувствую.