我最近在fiverr上购买了一个django-react代码。我对网络开发了解不多。这可能只是妄想症,但这类文件中可能存在一些恶意恶意软件吗。如果我运行服务器,那么我运行它的电脑可能会发生什么事情?
简言之,HTML、PY、JS等文件是否可能包含恶意内容,是的。如果你在电脑上运行此服务器,任何恶意内容都会对正在运行的电脑造成不良影响,是的。
好吧,这就是这件事可怕的一面。让我们更客观地考虑一下这个问题。让我们思考一下这些文件是如何包含恶意内容的,更重要的是,你能对此做些什么
- 作者故意在文件中写入恶意代码
这当然是可能的,但在我看来不太可能。生产恶意软件的人正在寻找时间投资的回报。在fiverr上为您的请求编写解决方案并包含恶意内容是一项巨大的投资,回报甚微。
此外,请记住,任何承包商/自由职业者都是在信任的基础上建立自己的职业生涯的。如果他们被发现为客户编写恶意代码,那么他们的声誉将受到影响。有一本关于"你能信任谁?"?它深入探讨了共享商品和服务平台上的信任细节。
如果你确实想检查代码中的问题,那么我会使用静态代码分析器(例如Fortify(和渗透测试。
- 作者包含了一个包含恶意内容的开源模块
在我看来,这更有可能。过去有通过共享机制发布模块的例子,例如NPM包含恶意内容。以下是几个例子:
- 恶意NPM包
- 比特币窃贼
这里的好消息是,您可以很容易地检查已知问题。例如,由于您有JS文件,我认为存在对npm的依赖性,您可以使用npm审计来检查安全建议的依赖性。
总之,在您的位置上,我首先要确保代码使用的依赖项没有任何重要的安全建议。然后,如果系统足够关键,我会使用静态代码分析工具(例如Fortify(来检查自定义代码。最后,对一个面向公众的系统来说,做一个好的渗透测试总是有好处的。
这里的关键点是考虑系统的风险状况,然后决定你需要/应该做什么投资来确保系统的安全。这是一个面向客户的系统,获取敏感信息(如银行/信用卡详细信息(,还是一个内部内联网系统?第一种需要更严格的安全检查,以确保客户的安全。