我的编程空间,编程开发者的网络收藏夹
学习永远不晚

python 安全编码&代码审计

短信预约 -IT技能 免费直播动态提醒
省份

北京

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团
手机号立即预约

请填写图片验证码后获取短信验证码

看不清楚,换张图片

免费获取短信验证码

python 安全编码&代码审计

现在一般的web开发框架安全已经做的挺好的了,比如大家常用的django,但是一些不规范的开发方式还是会导致一些常用的安全问题,下面就针对这些常用问题做一些总结。代码审计准备部分见《php代码审计》,这篇文档主要讲述各种常用错误场景,基本上都是咱们自己的开发人员犯的错误,敏感信息已经去除。

未对输入和输出做过滤,场景:


  1. def xss_test(request):

  2. name = request.GET['name']

  3. return HttpResponse('hello %s' %(name))

在代码中一搜,发现有大量地方使用,比较正确的使用方式如下:


  1. def xss_test(request):

  2. name = request.GET['name']

  3. #return HttpResponse('hello %s' %(name))

  4. return render_to_response('hello.html', {'name':name})

更好的就是对输入做限制,比如说一个正则范围,输出使用正确的api或者做好过滤。

对系统中一些重要的操作要做CSRF防护,比如登录,关机,扫描等。django 提供CSRF中间件django.middleware.csrf.CsrfViewMiddleware,写入到settings.py的中间件即可。另外再在函数前加上@csrf_exempt修饰器。

审计代码过程中发现了一些编写代码的不好的习惯,体现最严重的就是在命令注入方面,本来python自身的一些函数库就能完成的功能,偏偏要调用os.system来通过shell 命令执行来完成,老实说最烦这种写代码的啦。下面举个简单的例子:


  1.  def myserve(request, filename, dirname):

  2.   re = serve(request=request,path=filename,document_root=dirname,show_indexes=True)

  3.   filestr='authExport.dat'

  4.   re['Content-Disposition'] = 'p_w_upload; filename="' + urlquote(filestr) +'"'fullname=os.path.join(dirname,filename)

  5.   os.system('sudo rm -f %s'%fullname)

  6.   return re

很显然这段代码是存在问题的,因为fullname是用户可控的。正确的做法是不使用os.system接口,改成python自有的库函数,这样就能避免命令注入。python的三种删除文件方式:
(1)shutil.rmtree 删除一个文件夹及所有文件
(2)os.rmdir 删除一个空目录
(3)os.remove,unlink 删除一个文件

使用了上述接口之后还得注意不能穿越目录,不然整个系统都有可能被删除了。常见的存在命令执行风险的函数如下:


  1. os.system,os.popen,os.spaw*,os.exec*,os.open,os.popen*,commands.call,commands.getoutput,Popen*

推荐使用subprocess模块,同时确保shell=True未设置,否则也是存在注入风险的。

如果是使用django的api去操作数据库就应该不会有sql注入了,但是因为一些其他原因使用了拼接sql,就会有sql注入风险。下面贴一个有注入风险的例子:


  1. def getUsers(user_id=None):

  2. conn = psycopg2.connect("dbname='××' user='××' host='' password=''")

  3. cur = conn.cursor(cursor_factory=psycopg2.extras.DictCursor)

  4. if user_id==None:

  5. str = 'select distinct * from auth_user'

  6. else:

  7. str='select distinct * from auth_user where id=%d'%user_id

  8. res = cur.execute(str)

  9. res = cur.fetchall()

  10. conn.close()

  11. return res

像这种sql拼接就有sql注入问题,正常情况下应该使用django的数据库api,如果实在有这方面的需求,可以按照如下方式写:


  1. def user_contacts(request):

  2. user = request.GET['username']

  3. sql = "SELECT * FROM user_contacts WHERE username = %s"

  4. cursor = connection.cursor()

  5. cursor.execute(sql, [user])

  6. # do something with the results

  7. results = cursor.fetchone() #or results = cursor.fetchall()

  8. cursor.close()

直接拼接的是万万不可的,如果采用ModelInstance.objects.raw(sql,[]),或者connection.objects.execute(sql,[]) ,通过列表传进去的参数是没有注入风险的,因为django会有处理。

一般是由于eval和pickle.loads的滥用造成的,特别是eval,大家都没有意识到这方面的问题。下面举个代码中的例子:


  1. @login_required

  2. @permission_required("accounts.newTask_assess")

  3. def targetLogin(request):

  4. req = simplejson.loads(request.POST['loginarray'])

  5. req=unicode(req).encode("utf-8")

  6. loginarray=eval(req)

  7. ip=_e(request,'ipList')

  8. #targets=base64.b64decode(targets)

  9. (iplist1,iplist2)=getIPTwoList(ip)

  10. iplist1=list(set(iplist1))

  11. iplist2=list(set(iplist2))

  12. loginlist=[]

  13. delobjs=[]

  14. holdobjs=[]

这一段代码就是就是因为eval的参数不可控,导致任意代码执行,正确的做法就是literal.eval接口。再取个pickle.loads的例子:


  1. >>> import cPickle

  2. >>> cPickle.loads("cos\nsystem\n(S'uname -a'\ntR.")

  3. Linux RCM-RSAS-V6-Dev 3.9.0-aurora #4 SMP PREEMPT Fri Jun 7 14:50:52 CST 2013 i686 Intel(R) Core(TM) i7-2600 CPU @ 3.40GHz GenuineIntel GNU/Linux

  4. 0

文件操作主要包含任意文件下载,删除,写入,覆盖等,如果能达到写入的目的时基本上就能写一个webshell了。下面举个任意文件下载的例子:


  1. @login_required

  2. @permission_required("accounts.newTask_assess")

  3. def exportLoginCheck(request,filename):

  4. if re.match(r“*.lic”,filename):

  5. fullname = filename

  6. else:

  7. fullname = "/tmp/test.lic"

  8. print fullname

  9. return HttpResponse(fullname)

这段代码就存在着任意.lic文件下载的问题,没有做好限制目录穿越,同理

8.1 任意文件上传

这里主要是未限制文件大小,可能导致ddos,未限制文件后缀,导致任意文件上传,未给文件重命名,可能导致目录穿越,文件覆盖等问题。

8.2 xml,excel等上传

在我们的产品中经常用到xml来保存一些配置文件,同时也支持xml文件的导出导入,这样在libxml2.9以下就可能导致xxe漏洞。就拿lxml来说吧:


  1. root@kali:~/python# cat test.xml

  2. <?xml version="1.0" encoding="utf-8"?>

  3. <!DOCTYPE xdsec [ <!ENTITY xxe SYSTEM "file:///etc/passwd" >

  4. ]>

  5. <root>

  6. <node id="11" name="bb" net="192.168.0.2-192.168.0.37" ltd="" gid="" />test&xxe;</root>

  7. >>> from lxml import etree

  8. >>> tree1 = etree.parse('test.xml')

  9. >>> print etree.tostring(tree1.getroot())

  10. <root>

  11. <node id="11" name="bb" net="192.168.0.2-192.168.0.37" ltd="" gid=""/>testroot:x:0:0:root:/root:/bin/bash

  12. daemon:x:1:1:daemon:/usr/sbin:/bin/sh

  13. bin:x:2:2:bin:/bin:/bin/sh

  14. sys:x:3:3:sys:/dev:/bin/sh

  15. sync:x:4:65534:sync:/bin:/bin/sync

  16. games:x:5:60:games:/usr/games:/bin/sh

  17. man:x:6:12:man:/var/cache/man:/bin/sh

这是因为在lxml中默认采用的XMLParser导致的:


  1. class XMLParser(_FeedParser)

  2. | XMLParser(self, encoding=None, attribute_defaults=False, dtd_validation=False, load_dtd=False, no_network=True, ns_clean=False, recover=False, XMLSchema schema=None, remove_blank_text=False, resolve_entities=True, remove_comments=False, remove_pis=False, strip_cdata=True, target=None, compact=True)

关注其中两个关键参数,其中resolve_entities=True,no_network=True,其中resolve_entities=True会导致解析实体,no_network会为True就导致了该利用条件比较有效,会导致一些***f问题,不能将数据带出。在python中xml.dom.minidom,xml.etree.ElementTree不受影响

9.1 eval 封装不彻底

仅仅是将__builtings__置为空,如下方式即可绕过,可参见bug84179


  1. >>> s2="""

  2. ... [x for x in ().__class__.__bases__[0].__subclasses__()

  3. ... if x.__name__ == "zipimporter"][0](

  4. ... "/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module(

  5. ... "configobj").os.system("uname")

  6. ... """

  7. >>> eval(s2,{'__builtins__':{}})

  8. Linux

  9. 0

9.2 执行命令接口封装不彻底

在底层封装函数没有过滤shell元字符,仅仅是限定一些命令,但是其参数未做控制,可参见bug86011

一切输入都是不可靠的,做好严格过滤。


免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

python 安全编码&代码审计

下载Word文档到电脑,方便收藏和打印~

下载Word文档

猜你喜欢

python 安全编码&代码审计

现在一般的web开发框架安全已经做的挺好的了,比如大家常用的django,但是一些不规范的开发方式还是会导致一些常用的安全问题,下面就针对这些常用问题做一些总结。代码审计准备部分见《php代码审计》,这篇文档主要讲述各种常用错误场景,基本上
2023-01-31

Python安全编码与代码审计是怎样的

这篇文章给大家介绍Python安全编码与代码审计是怎样的,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。1 前言现在一般的web开发框架安全已经做的挺好的了,比如大家常用的django,但是一些不规范的开发方式还是会导致
2023-06-17

PHP 代码审计的利器:掌握代码安全的关键

PHP代码审计是确保应用程序安全的关键步骤,本文介绍了多种实用的PHP代码审计工具,帮助开发人员识别和修复代码中的安全漏洞,提高应用程序的安全性。
PHP 代码审计的利器:掌握代码安全的关键
2024-02-09
2023-09-01

PHP代码审计:全面检查,保障程序安全

PHP代码审计是一种系统地检查PHP代码以发现安全漏洞或潜在问题的过程。通过代码审计,可以有效地提高PHP应用程序的安全性,防止黑客攻击和数据泄露。
PHP代码审计:全面检查,保障程序安全
2024-02-09

PHP代码审计:深入解析,揭开安全隐患

:PHP代码审计是确保应用程序安全的重要一步,通过分析代码,可以识别出潜在的安全漏洞,防止攻击者利用这些漏洞进行攻击。本文将深入解析PHP代码审计的流程和方法,揭开安全隐患,并提供演示代码,帮助读者理解和应用PHP代码审计技术。
PHP代码审计:深入解析,揭开安全隐患
2024-02-09

JavaScript 安全编码技巧:编写更安全的代码

JavaScript 安全编码技巧对于编写更安全的代码至关重要。本文提供了几种有效的 JavaScript 安全编码技巧,包括使用严格模式、转义输入、验证输入、防止跨站脚本攻击、使用安全库等,帮助你编写更安全的代码。
JavaScript 安全编码技巧:编写更安全的代码
2024-02-04

编程热搜

  • Python 学习之路 - Python
    一、安装Python34Windows在Python官网(https://www.python.org/downloads/)下载安装包并安装。Python的默认安装路径是:C:\Python34配置环境变量:【右键计算机】--》【属性】-
    Python 学习之路 - Python
  • chatgpt的中文全称是什么
    chatgpt的中文全称是生成型预训练变换模型。ChatGPT是什么ChatGPT是美国人工智能研究实验室OpenAI开发的一种全新聊天机器人模型,它能够通过学习和理解人类的语言来进行对话,还能根据聊天的上下文进行互动,并协助人类完成一系列
    chatgpt的中文全称是什么
  • C/C++中extern函数使用详解
  • C/C++可变参数的使用
    可变参数的使用方法远远不止以下几种,不过在C,C++中使用可变参数时要小心,在使用printf()等函数时传入的参数个数一定不能比前面的格式化字符串中的’%’符号个数少,否则会产生访问越界,运气不好的话还会导致程序崩溃
    C/C++可变参数的使用
  • css样式文件该放在哪里
  • php中数组下标必须是连续的吗
  • Python 3 教程
    Python 3 教程 Python 的 3.0 版本,常被称为 Python 3000,或简称 Py3k。相对于 Python 的早期版本,这是一个较大的升级。为了不带入过多的累赘,Python 3.0 在设计的时候没有考虑向下兼容。 Python
    Python 3 教程
  • Python pip包管理
    一、前言    在Python中, 安装第三方模块是通过 setuptools 这个工具完成的。 Python有两个封装了 setuptools的包管理工具: easy_install  和  pip , 目前官方推荐使用 pip。    
    Python pip包管理
  • ubuntu如何重新编译内核
  • 改善Java代码之慎用java动态编译

目录