# 練習 51：`lessweb` > 原文：[Exercise 51: lessweb](https://learncodethehardway.org/more-python-book/ex51.html) > 譯者：[飛龍](https://github.com/wizardforcel) > 協議：[CC BY-NC-SA 4.0](http://creativecommons.org/licenses/by-nc-sa/4.0/) > 自豪地采用[谷歌翻譯](https://translate.google.cn/) 我們很接近這本書的末尾了，所以在最后兩個練習中我將給你一個項目。你將要創建一個 Web 服務器。在本練習中，你只需了解 Python `http.server`模塊以及如何創建簡單 Web 服務器來使用它。我將給你指示，然后讓你閱讀文檔來了解如何實現它。這里沒有太多的指導，因為現在你應該可以自己做大部分的事情。 創建 Web 服務器后，你將會編寫一組測試，來嘗試破壞你的 Web 服務器。我將在“破壞它”部分中為你提供一些指導，但現在你應該非常樂意在你編寫的代碼中找到缺陷。 ## 挑戰練習 你需要閱讀 Python 3 的[`http.server`](https://docs.python.org/3/library/http.server.html)文檔來起步。你還應閱讀 Python 3 的[`http.client`](https://docs.python.org/3/library/http.client.html)文檔以及[`requests`](http://docs.python-requests.org/en/master/)的文檔。你將使用`requests`或`http.client`為你創建的`http.server`編寫測試。 接下來，你的工作是使用`http.server`創建一的 Web 服務器，可以執行以下操作： + 從配置文件中進行配置 + 一直運行并處理收到的請求 + 提供配置目錄中的文件 + 響應網站的請求并提供正確的內容 + 記錄所有進入文件的請求，以便之后讀取 如果你閱讀文檔中的示例，你大概可以以基本的方式，讓大部分東西都工作。這個練習的一部分是，如何 Hack 一個樸素的 Web 服務器，所以你應該只是讓它能夠工作，然后我們將轉到下一部分。 ## 破壞它 你在本節中的工作是，以任何方式攻擊你的 Web 服務器。你可以從 [OWASP 十大漏洞列表](https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project)開始，然后繼續進行其他常見攻擊。你還將閱讀 Python 3 `os`模塊文檔來實現一些修復。這是一個額外的錯誤列表，我敢肯定你會犯這些錯誤： + 非預期的目錄遍歷。你可能從URL（`/some/file/index.html`）中獲取基本路徑，僅僅按照請求打開它。也許你在操作系統上添加了文件的完整路徑（`/Users/zed/web/some/file/index.html`），并認為你做得很好。嘗試使用`..`路徑說明符來訪問此目錄外的文件。如果你可以請求`/../../../../../../../../etc/passwd`，那么你贏了。嘗試解釋為什么會發生這種情況，以及你可以如何解決這個問題。 + 沒有處理非預期的請求。你最有可能尋找`GET`和`POST`，但如果有人執行`HEAD`或`OPTIONS`，會發生什么？ + 發送一個巨大的 HTTP 協議頭。看看你是否可以通過發送一個非常大的 HTTP 請求頭，使 Python `http.server`崩潰或減慢速度。 + 請求未知域時不會出現錯誤。有些人認為它是一個功能（咳咳，Nginx），當服務器無法識別域時，會提供“隨機”網站。你的服務器應該只是白名單，如果它不識別該域，它應該給出 404 錯誤。 這些只是人們所犯的一些小錯誤。研究盡可能多的其他人，然后為你的服務器編寫自動化測試，以便在你解決問題之前展示它們。如果你的服務器中找不到任何這些錯誤，那么故意創建它們。了解如何犯下這些錯誤也是有益的。 ## 研究性學習 閱讀 [Python 3 `os`文檔](https://docs.python.org/3/library/os.html)中的`os.chroot`函數。 研究如何使用這個函數和其他`os`模塊的函數來創建“根目錄限制”。 使用`os`中的許多函數以及你可以找到的任何模塊，重寫你的服務器，來正確地實現“根目錄限制”，并丟棄權限變成安全用戶（而不是 root）。在 Windows 上，這可能非常困難，所以要么在 Linux 計算機上嘗試，要么完全跳過它。