Scripting 攻击者可以下载cgi脚本吗？

我有一个相当简单的问题，但到目前为止在互联网上找不到答案： 攻击者有没有办法从网页下载CGI脚本（Perl、Python等）

或者换句话说：在cgi脚本中包含敏感信息（例如，访问另一个服务的密钥）是否存在安全风险

谢谢

攻击者有没有办法从网页下载CGI脚本（Perl、Python等）

web服务器的设计试图防止这种情况，但web应用程序的设计应假定这一点。-i、 这不是它应该如何工作，但它一点也不罕见。这是否可能取决于你为什么问这个问题

如果某个特定黑客有一个值得你花时间去做的攻击向量，那么有一种方法可以从你的网页上下载脚本。 对于另一个问题（虽然与PHP有关，但原则是相同的），我们非常详细地解释了可能导致攻击的一些因素

cgi脚本中包含敏感信息（例如，另一个服务的访问密钥）是否存在安全风险

对。虽然风险总是存在的，并且风险的可接受性取决于您的应用程序和具体的权衡，但此特定场景有两个主要缺陷（如果不是更多的话）：

如果您的服务器或CGI处理程序出现任何问题，您可以使用面向公众的文本文件

这很简单，就是不把私钥放在那里

即使私钥仅访问免费层上的虚拟机，而免费层只返回本地城市的天气，您至少应该使用web服务器用户无法访问私钥的模型（即www数据等）。i、 您可以让您的CGI处理程序简单地将参数/参数传递给另一个本地服务，以解析和调用所需的操作