Le sottodirectory pypi dovrebbero essere accessibili dal browser web?

1

Sono un ricercatore di sicurezza e quando stavo prendendo le impronte digitali su una applicazione web ho scoperto che tutte le sottodirectory di domain.com/pypi erano accessibili dal browser web. La directory principale pypi restituisce 403 Proibita quando provo ad accedervi ma tutte le sottodirectory sono completamente aperte e puoi accedere e scaricare qualsiasi file da loro.

La domanda è, dovrebbe essere così? Quali rischi ha l'accesso a questi file? Questo dovrebbe essere riportato in un programma di bug bug?

    
posta Niemand 29.06.2016 - 21:39
fonte

1 risposta

0

Questo è un comportamento intenzionale nella loro applicazione Web, il motivo è che PyPI è il repository software di terze parti ufficiale di Python. È come il catalogo di tutti i pacchetti Python open source. Le opzioni .htaccess -Indexes non sono il problema qui, dato che si tratta di pacchetti Open Source ed è pubblico in modo tale che chiunque può accedere manualmente al sito e al download, se non che potrei cercare lo stesso dal mio terminale di pip search twitter per esempio e mi elencherà lo stesso numero di pacchetti di parole chiave di twitter che ha pypi.python.org/simple.

L'Opensource si occupa in questo modo, se noti che Ubuntu Repo, i repository Debian non hanno .htaccess e puoi facilmente leggere tutte le cartelle e sottocartelle del repository. La maggior parte dei fornitori di software e della comunità open source funziona allo stesso modo, perché non vi è alcuna divulgazione di informazioni dannose di un open source in quanto sono già aperti !! Un altro motivo è che possono MIRROR tutto il contenuto dei pacchetti del sito e possono essere utilizzati per il download se persiste un problema in Repo principale.

Suppongo che tu ti stia riferendo al programma Bug Bug di Internet di Python di Hackerone, e se riporti questo bug sicuramente è un N / A lì a causa di un comportamento intenzionale

    
risposta data 30.06.2016 - 12:24
fonte

Leggi altre domande sui tag