# 练习 51：`lessweb` > 原文：[Exercise 51: lessweb](https://learncodethehardway.org/more-python-book/ex51.html) > 译者：[飞龙](https://github.com/wizardforcel) > 协议：[CC BY-NC-SA 4.0](http://creativecommons.org/licenses/by-nc-sa/4.0/) > 自豪地采用[谷歌翻译](https://translate.google.cn/) 我们很接近这本书的末尾了，所以在最后两个练习中我将给你一个项目。你将要创建一个 Web 服务器。在本练习中，你只需了解 Python `http.server`模块以及如何创建简单 Web 服务器来使用它。我将给你指示，然后让你阅读文档来了解如何实现它。这里没有太多的指导，因为现在你应该可以自己做大部分的事情。 创建 Web 服务器后，你将会编写一组测试，来尝试破坏你的 Web 服务器。我将在“破坏它”部分中为你提供一些指导，但现在你应该非常乐意在你编写的代码中找到缺陷。 ## 挑战练习 你需要阅读 Python 3 的[`http.server`](https://docs.python.org/3/library/http.server.html)文档来起步。你还应阅读 Python 3 的[`http.client`](https://docs.python.org/3/library/http.client.html)文档以及[`requests`](http://docs.python-requests.org/en/master/)的文档。你将使用`requests`或`http.client`为你创建的`http.server`编写测试。 接下来，你的工作是使用`http.server`创建一的 Web 服务器，可以执行以下操作： + 从配置文件中进行配置 + 一直运行并处理收到的请求 + 提供配置目录中的文件 + 响应网站的请求并提供正确的内容 + 记录所有进入文件的请求，以便之后读取 如果你阅读文档中的示例，你大概可以以基本的方式，让大部分东西都工作。这个练习的一部分是，如何 Hack 一个朴素的 Web 服务器，所以你应该只是让它能够工作，然后我们将转到下一部分。 ## 破坏它 你在本节中的工作是，以任何方式攻击你的 Web 服务器。你可以从 [OWASP 十大漏洞列表](https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project)开始，然后继续进行其他常见攻击。你还将阅读 Python 3 `os`模块文档来实现一些修复。这是一个额外的错误列表，我敢肯定你会犯这些错误： + 非预期的目录遍历。你可能从URL（`/some/file/index.html`）中获取基本路径，仅仅按照请求打开它。也许你在操作系统上添加了文件的完整路径（`/Users/zed/web/some/file/index.html`），并认为你做得很好。尝试使用`..`路径说明符来访问此目录外的文件。如果你可以请求`/../../../../../../../../etc/passwd`，那么你赢了。尝试解释为什么会发生这种情况，以及你可以如何解决这个问题。 + 没有处理非预期的请求。你最有可能寻找`GET`和`POST`，但如果有人执行`HEAD`或`OPTIONS`，会发生什么？ + 发送一个巨大的 HTTP 协议头。看看你是否可以通过发送一个非常大的 HTTP 请求头，使 Python `http.server`崩溃或减慢速度。 + 请求未知域时不会出现错误。有些人认为它是一个功能（咳咳，Nginx），当服务器无法识别域时，会提供“随机”网站。你的服务器应该只是白名单，如果它不识别该域，它应该给出 404 错误。 这些只是人们所犯的一些小错误。研究尽可能多的其他人，然后为你的服务器编写自动化测试，以便在你解决问题之前展示它们。如果你的服务器中找不到任何这些错误，那么故意创建它们。了解如何犯下这些错误也是有益的。 ## 研究性学习 阅读 [Python 3 `os`文档](https://docs.python.org/3/library/os.html)中的`os.chroot`函数。 研究如何使用这个函数和其他`os`模块的函数来创建“根目录限制”。 使用`os`中的许多函数以及你可以找到的任何模块，重写你的服务器，来正确地实现“根目录限制”，并丢弃权限变成安全用户（而不是 root）。在 Windows 上，这可能非常困难，所以要么在 Linux 计算机上尝试，要么完全跳过它。