Python Subprocess库在使用中可能存在的安全风险总结_python subprocess漏洞如何避免

于 2024-05-16 02:10:34 发布
阅读量720 收藏 14
点赞数 23
分类专栏: 程序员 文章标签: python 学习 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84140140/article/details/138932262
版权

现在能在网上找到很多很多的学习资源,有免费的也有收费的,当我拿到1套比较全的学习资源之前,我并没着急去看第1节,我而是去审视这套资源是否值得学习,有时候也会去问一些学长的意见,如果可以之后,我会对这套学习资源做1个学习计划,我的学习计划主要包括规划图和学习进度表。

分享给大家这份我薅到的免费视频资料,质量还不错,大家可以跟着学习

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化学习资料的朋友,可以戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

1)死锁形式1
subprocess.call
subprocess.check_call 
subprocess.check_output

以上三个函数在使用stdout=PIPE or stderr=PIPE 存在死锁风险

处理方案:

若要使用stdout=PIPE or stderr=PIPE,建议使用popen.communicate()

subprocess 官方文档在上面几个函数中都标注了安全警告:

2) 死锁形式2

对于popen ,  popen.wait() 可能会导致死锁

处理方案:

那死锁问题如何避免呢?官方文档里推荐使用 Popen.communicate()。这个方法会把输出放在内存,而不是管道里,所以这时候上限就和内存大小有关了,一般不会有问题。而且如果要获得程序返回值,可以在调用 Popen.communicate() 之后取 Popen.returncode 的值。

3)死锁形式3

call、check_call、popen、check_output 这四个函数,参数shell=True,命令参数不能为list,若为list则引发死锁

处理方案:

参数shell=True时,命令参数为字符串形式

0×02. 关闭subprocess.Popen 子进程时存在子进程关闭失败而成为僵尸进程的风险

Python 标准库 subprocess.Popen 是 shellout 一个外部进程的首选,它在 Linux/Unix 平台下的实现方式是 fork 产生子进程然后 exec 载入外部可执行程序。

于是问题就来了,如果我们需要一个类似“夹具”的子进程(比如运行 Web 集成测试的时候跑起来的那个被测试 Server), 那么就需要在退出上下文的时候清理现场,也就是结束被跑起来的子进程。

最简单粗暴的做法可以是这样:

 @contextlib.contextmanager
def process_fixture(shell_args):
 proc = subprocess.Popen(shell_args)
 try:
    yield
 finally:
    # 无论是否发生异常,现场都是需要清理的
     proc.terminate()
     proc.wait()
     
if __name__ == '__main__':
    with process_fixture(['python', 'SimpleHTTPServer', '8080']) as proc:
    print('pid %d' % proc.pid)
    print(urllib.urlopen('http://localhost:8080').read())

那个 proc.wait() 是不可以偷懒省掉的,否则如果子进程被中止了而父进程继续运行, 子进程就会一直占用 pid 而成为僵尸,直到父进程也中止了才被托孤给 init 清理掉。

这个简单粗暴版对简单的情况可能有效,但是被运行的程序可能没那么听话。被运行程序可能会再fork 一些子进程来工作,自己则只当监工 —— 这是不少 Web Server 的做法。 对这种被运行程序如果简单地 terminate ,也即对其 pid 发 SIGTERM , 那就相当于谋杀了监工进程,真正的工作进程也就因此被托孤给 init ,变成畸形的守护进程…… 嗯没错,这就是我一开始遇到的问题,CI Server上明明已经中止了 Web Server 进程了,下一轮测试跑起来的时候端口仍然是被占用的。

处理方案:

这个问题稍微有点棘手,因为自从被运行程序 fork 以后,产生的子进程都享有独立的进程空间和pid ,也就是它超出了我们触碰的范围。好在 subprocess.Popen 有个 preexec_fn 参数,它接受一个回调函数,并在 fork 之后 exec 之前的间隙中执行它。我们可以利用这个特性对被运行的子进程做出一些修改,比如执行 setsid() 成立一个独立的进程组。Linux 的进程组是一个进程的集合,任何进程用系统调用 setsid 可以创建一个新的进程组,并让自己成为首领进程。首领进程的子子孙孙只要没有再调用 setsid 成立自己的独立进程组,那么它都将成为这个进程组的成员。 之后进程组内只要还有一个存活的进程,那么这个进程组就还是存在的,即使首领进程已经死亡也不例外。 而这个存在的意义在于,我们只要知道了首领进程的 pid(同时也是进程组的 pgid ), 那么可以给整个进程组发送 signal ,组内的所有进程都会收到。

因此利用这个特性,就可以通过 preexec_fn 参数让 Popen 成立自己的进程组, 然后再向进程组发送 SIGTERM 或 SIGKILL ,中止 subprocess.Popen 所启动进程的子子孙孙。当然,前提是这些子子孙孙中没有进程再调用 setsid 分裂自立门户。

前文的例子经过修改是这样的:

import signal
import os
import contextlib
import subprocess
import logging
import warnings
@contextlib.contextmanager
def process_fixture(shell_args):
 proc = subprocess.Popen(shell_args, preexec_fn=os.setsid)
 try:
    yield
 finally:
    proc.terminate()
    proc.wait()
 try:
    os.killpg(proc.pid, signal.SIGTERM)
 except OSError as e:
    warnings.warn(e)

Python 3.2 之后 subprocess.Popen 新增了一个选项 start_new_session ,Popen(args, start_new_session=True) 即等效于 preexec_fn=os.setsid 。这种利用进程组来清理子进程的后代的方法,比简单地中止子进程本身更加“干净”。基于 Python 实现的 Procfile 进程管理工具 Honcho 也采用了这个方法。当然,因为不能保证被运行进程的子进程一定不会调用 setsid , 所以这个方法不能算“通用”,只能算“相对可用”。如果真的要百分之百通用,那么像 systemd 那样使用 cgroups 来追溯进程创建过程也许是唯一的办法。也难怪说 systemd是第一个能正确地关闭服务的 init 工具。

0×04. 参数拼接引发的命令注入风险

1)命令注入场景1:shell=True时,命令参数可控

案例:

s=subprocess.Popen('ls;id', shell=True, stderr=subprocess.PIPE, stdout=subprocess.PIPE)

处理方案:

1)shell=True,使用 pipes.quote() 对参数进行过滤

如果是python3,推荐使用shlex.quote()

2)shell=False,参数使用list,此时能防止部分命令注入(其他风险见2))

缺点是写参数时会稍微麻烦点

2)命令注入场景2:shell=False时,参数选项拼接引发的命令注入风险

使用subprocess执行命令的时候,如果使用外部传入参数,且参数可控,要注意,参数不要变成命令中的 参数选项

像subprocess.call([]) 执行的是list 拼接起来的命令,如果可控参数 在拼接之后使得参数变成了参数选项,则存在命令注入风险

案例:

import subprocess
query = '--open-files-in-paper=id;'
r = subprocess.call(['git', 'grep', '-i', '--line-number', query, 'master'], cwd='/root/op-scripts')

默认情况下,python的subprocess接受的是一个列表。我们可以将用户输入的query放在列表的一项,这样也就避免了开发者手工转义query的工作,也能从根本上防御命令注入漏洞。但可惜的是,python帮开发者做的操作,也仅仅相当于是PHP中的escapeshellarg。我们可以试试令query等于–open-files-in-pager=id;:

php 中方式命令注入的两个函数

escapeshellcmd

一、Python所有方向的学习路线

Python所有方向路线就是把Python常用的技术点做整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。

二、学习软件

工欲善其事必先利其器。学习Python常用的开发软件都在这里了,给大家节省了很多时间。

三、入门学习视频

我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化学习资料的朋友,可以戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化学习资料的朋友,可以戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84140140
关注
  • 23
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python Subprocess使用可能存在安全风险总结
python学习者的博客
09-14 2982
0×00. 前言 在各大热门语言排行榜Python语言多次名列前茅,其高效的开发效率和优雅的编程风格吸引不少开发人员的青睐,不少公司将技术栈切换至Python。随着Python 语言的愈来愈流行,其安全问题也愈发受到安全人员的关注。作为新一代的语言,虽然其相较于PHP等传传统(资格老一些的语言)语言在安全性上有诸多改进,但仍然面临不少安全问题,本文以最为流行的Python 子进程subpr...
python subprocess 命令注入_python利用subprocess执行交互命令
weixin_39624094的博客
12-21 1251
已经知道,os.system可以方便的利用python代码执行一些像ping、ipconfig之类的系统命令,但却只能得到命令执行是否成功,不能获得命令成功执行后的结果,像下面这样:1 >>> s = os.system("ping www.baidu.com")23 正在 Ping www.a.shifen.com [220.181.38.150] 具有 32字节的数据:4 来...
Python多进程(1)——subprocessPopen()
weixin_34239169的博客
08-17 492
  Python多进程方面涉及的模块主要包括: subprocess:可以在当前程序执行其他程序或命令; mmap:提供一种基于内存的进程间通信机制; multiprocessing:提供支持多处理器技术的多进程编程接口,并且接口的设计最大程度地保持了和threading模块的一致,便于理解和使用。     本文主要介绍 subprocess 模块及其提供的 Popen 类,以...
python3:subprocess.run shell=True踩坑记录
shi_ku_shui的博客
03-13 1244
跟着菜鸟教程打的 subprocess.run(["ls","/home"],shell=True,encoding="utf-8",timeout=1) 结果一直输出当前目录下 执行ls的结果 实际上应该把指令放在一个引号内 subprocess.run(["ls /home"],shell=True,encoding="utf-8",timeout=1) ...
python subprocess 命令注入_Pythonsubprocess模块的使用
weixin_29791743的博客
02-19 576
http://www.jb51.net/article/57208.htm# coding=utf-8import subprocessimport timeimport osimport threadingimport platformimport sys# from com.android.monkeyrunner import MonkeyRunner, MonkeyDevice, Monk...
Python subprocess使用详解
09-20
例如,可以使用subprocess来执行shell命令,或者在Python创建子进程运行外部程序。 创建子进程并运行命令时,可以使用subprocess.call()函数。这个函数接受两个主要参数:第一个是一个列表,包含要运行的命令和它...
Pythonsubprocess的简单使用示例
12-25
python,我们通过标准subprocess包来fork一个子进程,并在子进程运行一个新的程序。 subprocess有数个创建子进程的函数,这些函数分别以不同的方式创建子进程,所以我们可以根据需要来从选取一个...
pythonsubprocess.Popen()使用详解
09-18
使用subprocess模块可以避免很多由于直接使用shell命令带来的安全问题,特别是可以避免由于shell注入攻击引起的安全漏洞。在进行系统调用或执行外部程序时,使用subprocess模块可以提供更多的控制和灵活性,并且能够...
python--杂识--9.1--subproess调用shell命令的安全
Chasing__Dreams的博客
05-23 970
1 shell=True shell=True参数会让subprocess.check_call接受字符串类型的变量作为命令,并调用shell去执行这个字符串。 import subprocess cmdline = "ls -l; ls -l" subprocess.check_call(cmdline, shell=True) """ 执行结果: [root@Chasing-Dreams test]# python test.py total 4 -rw-r--r-- 1 root root 129
subprocess解决僵尸进程
qq_37746897的博客
11-19 1442
僵尸进程介绍 Z(zombie)-僵尸进程(子进程终止,父进程没有wait子进程) 僵尸进程产生原因 僵尸进程是当子进程比父进程先结束,而父进程又没有回收子进程,释放子进程占用的资源,此时子进程将成为一个僵尸进程。(一个进程结束了,但是他的父进程没有等待(调用wait/ waitpid)他,那么他将变成一个僵尸进程) 僵死进程会以终止状态保持在进程表,并且会一直在等待父进程读取退出状态代码。 所以,只要子进程退出,父进程还在运行,但父进程没有读取子进程状态,子进程进入Z状态 系统为什么需要僵尸进程
python subprocess call_python subprocess.call无法正确处理信号
weixin_39793794的博客
12-14 493
(我正在使用Python 3.4.2)我有一个脚本test.py,它处理SIGTERM等.但是,当其他脚本调用它时,信号处理是不正确的.这是test.py:#! /path/to/python3import timeimport signalimport sysdef handleSIG(signal, frame):for i in range(10):print(i)sys.exit()for...
python子进程模块subprocess调用shell命令
weixin_30952535的博客
03-30 120
http://www.cnblogs.com/vamei/archive/2012/09/23/2698014.html 转载于:https://www.cnblogs.com/heshangaichirou/p/5339444.html
Python subprocess 死锁
YanGeGe_GitHub的专栏
01-15 658
Popen.wait() 要防止死锁Warning: This will deadlock when using stdout=PIPE and/or stderr=PIPE and the child process generates enough output to a pipe such that it blocks waiting for the OS pipe buffer to acc
python os.popen基础/os.popen 安全注入(OS命令注入漏洞\subprocess.getstatusoutput OS命令注入漏洞)、python 过滤命令注入危险字符
西京刀客
04-29 7283
文章目录一、python OS命令注入漏洞1. 警惕subprocess.getstatusoutput OS命令注入漏洞2. os.popen OS命令注入漏洞os.popen基础python os.popen OS命令注入漏洞 一、python OS命令注入漏洞 1. 警惕subprocess.getstatusoutput OS命令注入漏洞 python直接执行代码漏洞_警惕OS命令注入漏洞 - python篇 参考URL: https://blog.csdn.net/weixin_3980585
python外部程序指定功能_用python脚本测试外部程序及遇到的fflush问题
weixin_39887961的博客
12-21 153
有的时候写的程序需要很多输入,如果每次测试、运行都自己从控制台输入的话非常浪费时间。可以用python脚本来替代这些重复劳动。#include "stdio.h"void main(){printf("input::\n");int n;scanf("%d",&n);printf("you just entered %d\n",n);//fflush(stdin);printf("inpu...
已解决error: subprocess-exited-with-error异常的正确解决方法,亲测有效!!!
最新发布
小明的Java问道之路
02-12 7万+
已解决error: subprocess-exited-with-error异常的正确解决方法,亲测有效!!!
python subprocess communicate_Python subprocess.Popen communicate() 和wait()使用上的区别
weixin_39902875的博客
12-21 1663
之所以会纠结到这个问题上是因为发现在调用Popen的wait方法之后程序一直没有返回。google发现wait是有可能产生死锁的。为了把这个问题彻底弄清楚,搜索一些资料过来看看:原文链接:http://blog.csdn.net/carolzhang8406/article/details/22286913看到别人的例子:今天遇到的一个问题。简单说就是,使用 subprocess 模块的 Pope...
python——系统交互subprocess
zangba9624的博客
11-06 2118
目录 一、os与commands模块 1. os.system()函数实例 2. os.popen()函数实例 3. commands.getstatusoutput()函数实例 二、subprocess模块 1. subprocess模块的常用函数 2. 上面各函数的定义及参数说明 3. subprocess.CompletedProcess类介绍 4. 实例 三、subprocess.Popen介绍 1.subprocess.Popen的构造函数 2. subprocess.P
python subprocess
08-22
Pythonsubprocess是用于调用Linux shell命令并返回状态和结果的。它取代了Python2.4以上版本的commands模块,可以在Python创建并运行一个外部程序的子进程。subprocess定义了多个创建子进程的函数,可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值