Python 中的 10 个常见安全漏洞,以及如何避免(下)

最新推荐文章于 2024-04-20 13:00:00 发布
最新推荐文章于 2024-04-20 13:00:00 发布
阅读量393 收藏
点赞数

简评:编写安全代码很困难,当你学习一个编程语言、模块或框架时,你会学习其使用方法。 在考虑安全性时,你需要考虑如何避免被滥用,Python 也不例外,即使在标准库中,也存在用于编写应用的不良实践。然而,许多 Python 开发人员却根本不知道它们。

接上篇

6. 解析 XML(Parsing XML)

如果你的应用程序要加载、解析 XML 文件,则你可能正在使用 XML 标准库模块。通过 XML 的攻击大多是 DoS 风格(旨在使系统崩溃而不是泄露数据),这些攻击十分常见,特别是在解析外部(即不可信任的)XML 文件时。

其中有个「billion laughs」,因为他的 payload 通常包含很多(十亿)「lols」。基本上,这个原理是可以在 XML 中使用参照实体,所以当解析器将这个 XML 文件加载到内存中时,它会消耗数 G 大小的内存(RAM)。

试试看,如果你不相信我的话 :-)

<?xml version="1.0"?>
<!DOCTYPE lolz [
  <!ENTITY lol "lol">
  <!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
  <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
  <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
  <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
  <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
  <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
  <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
  <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
]>
<lolz>&lol9;</lolz>

另一些攻击使用外部实体扩展。XML 支持从外部 URL 引用实体,XML解析器通常会毫无疑问地获取并加载该资源。「攻击者可以规避防火墙并访问受限制的资源,因为所有请求都是由内部可信的 IP 地址创建的,而不是来自外部。」

需要考虑的另一种情况是依赖的第三方软件包需要解码 XML ,例如配置文件、远程 API。你甚至可能不知道某个依赖关系会将这些类型的攻击置之不理。

修复

使用 defusedxml 替换标准库模块,它增加了针对这些类型攻击的安全防护。

7. 受污染的 site-packages 或 import 路径

Python 的 import 系统非常灵活,当你想要为测试写猴子补丁或重载核心功能时,这是非常棒的。

但这却是 Python 中最大的安全漏洞之一。

安装第三方软件包,无论是在虚拟环境中还是全局(通常不鼓励)都会让你看到这些软件包中的安全漏洞。有一些发布到 PyPi 的软件包与流行的软件包具有相似的名称,但是却执行了任意代码。

需要考虑的另一种情况是依赖的依赖,他们可能包含漏洞,他们也可以通过导入系统覆盖Python 中的默认行为。

修复:

看看 http://PyUp.io 及其安全服务,为所有应用程序使用虚拟环境,并确保全局的 site-packages 尽可能干净,检查包签名。

8. 序列化 Pickles

反序列化 pickle 数据和 YAML 一样糟糕。Python 类可以声明一个 reduce 方法,该方法返回一个字符串,或一个可调用的元组以及使用 pickle 序列化时调用的参数。攻击者可以使用它来包含对其中一个子进程模块的引用,以在主机上运行任意命令。

修复:

切勿使用 pickle 反序列化不受信任或未经身份验证来源的数据。改用另一种序列化模式(如JSON)。

9. 使用系统 Python 运行时并且不修复它

大多数 POSIX 系统都自带有一个 Python 2 版本(通常是旧版本)。

有时候 Python(即 CPython 是用 C 语言编写的) 解释器本身存在漏洞, C 中的常见安全问题与内存分配有关,所以大多是缓冲区溢出错误,CPython 多年来一直存在一些溢出漏洞,每个漏洞都在后续版本中进行了修复。也就是说,如果及时升级 python 运行时,就很安全。

修复:

为生产应用程序安装最新版本的 Python,并及时安装修复更新!

10. 不修复依赖关系

类似于不修补 python 运行时,还需要定期修补依赖关系。

在 PyPi 的软件包中「钉住」 Python 软件包版本的做法是很糟糕的,目的是「这些是能正常工作的版本」,所以每个人都不升级它。

上面提到的代码中的所有漏洞在第三方包中存在时同样重要,这些软件包的开发人员每时每刻都在修复安全问题。

修复:

使用像 PyUp.io 这样的服务来检查更新,向应用程序提出 pr,并运行测试以保持软件包是最新的。

原文:10 common security gotchas in Python and how to avoid
them

极光推送
关注
Python10常见安全漏洞及修复方法
gaojian5422的博客
02-28 2063
Python10常见安全漏洞及修复方法
Python 开发 10常见安全漏洞
anquanniu的博客
09-22 707
输入注入(Input injection) 注入攻击非常广泛而且很常见,注入有很多种类,它们影响所有的语言、框架和环境。 命令注入可能在使用popen、subprocess、os.system 调用一个进程并从变量获取参数时发生,当调用本地命令时,有人可能会将某些值设置为恶意值。 下面是个简单的脚本,使用用户提供的文件名调用子进程: import subprocess def transcode_file(request, filename): command = 'ffmpeg -i "{sourc.
Python 10常见安全漏洞,以及如何避免(上)
weixin_34301307的博客
06-26 315
2019独角兽企业重金招聘Python工程师标准>>> ...
JavaScript、PHP、Python等主流编程语言爆安全漏洞
代码湾
12-13 446
没有不漏的锅,如果底层的编程语言如果出现问题,顶层的应用程序还能幸免于难吗? 这周在 Black Hat Europe 2017 安全会议上,一名安全研究员公开了几款目前非常流行的解释型编程语言出现的漏洞。这些编程语言上存在的问题,可能让运用这些语言开发的应用程序因此也很容易遭受攻击。 这项研究的作者是 IOActive 的高级安全顾问 Fernando Arnaboldi。这位专家表示
iOS代码混淆--最终版
shutong
07-02 8173
最近在做银行的项目,所以对安全性要求很高。这不安全检测没过����,这里面的问题就提到了代码混淆问题 准备工作 cd到你自己的项目目录级 创建confuse.sh文件和func.list文件 选项目选择运行脚本。这里需要注意的是$PROJECT_DIR/confuse.sh这个的路径和创建pch文件时的路径是一样的,$PROJECT_DIR代表整个工程,/confuse.sh是...
Python常见安全漏洞及修复方法.pdf
06-29
本文将针对Python程序常见安全漏洞进行详细分析,并提供相应的修复方法。 一、输入注入攻击 输入注入攻击是当程序接收用户输入并将其直接用于数据库查询或其他命令时,攻击者通过精心构造输入数据来执行非法的...
Python常见安全漏洞及修复方法.zip
10-16
本资料"Python常见安全漏洞及修复方法.zip"包含了关于Python安全的重要信息,主要文件是"Python常见安全漏洞及修复方法.pdf",以下将对其可能涵盖的关键知识点进行详细阐述。 1. 输入验证不足:Python应用程序...
文件包含漏洞
weixin_43858799的博客
05-13 257
文件包含原理及本地文件包含漏洞案例演示,远程文件包含漏洞案例讲解和演示,文件包含漏洞防范措施 一、文件包含原理及本地文件包含漏洞案例演示 文件包含,是一个功能。在各种开发语言都提供了内置的文件包含函数,其可以使开发人员在一个代码文件直接包含(引入)另外一个代码文件。 比如 在PHP,提供了: include(),include_once() require(),require_once() ...
Python 10常见安全漏洞,以及如何避免
子曰小玖的博客
04-08 1177
简评:编写安全代码很困难,当你学习一个编程语言、模块或框架时,你会学习其使用方法。 在考虑安全性时,你需要考虑如何避免被滥用,Python 也不例外,即使在标准库,也存在用于编写应用的不良实践。然而,许多 Python 开发人员却根本不知道它们。 1. 输入注入(Input injection) 注入攻击非常广泛而且很常见,注入有很多种类,它们影响所有的语言、框架和环境。 SQL 注入...
python3编写ThinkPHP命令执行Getshell的方法
12-25
加了三个验证漏洞以及四个getshell方法 # /usr/bin/env python3 # -*- coding: utf-8 -*- # @Author: Morker # @Email: [email]admin@nsf.me[/email] # @Blog: [url]http://nsf.me/[/url] import requests import sys def demo(): print(' _______ _ _ _ _____ _ _ _____ ') print(' |__ __| | (_) | | | __ \| | | | _
渗透之文件包含漏洞
Jian Sun_的博客
05-16 1393
文件包含漏洞介绍 文件包含故名思意就是文件包含其他的文件,这也许是开发人员为了减轻开发量从而在代码设计的时候包含了某些文件,更甚者是直接包含了类似*.php、*.*这种文件。首先文件包含这个行为是正常的,因为在开发的途难免会遇到有重复的代码等需要设计,而通过文件包含就可以减轻一定的工作量,所以文件包含本身是正常的。但是需要注意在文件包含行为的一些配置,如果是PHP的话,那么在PHP安装目录下的php.ini配置文件可以对文件包含的一些配置进行相关的设置: php.ini的一些配置信息查看 文件包
Flask(Jinja2)服务端模板注入漏洞(SSTI)整理
qq_46145027的博客
04-19 1429
整理一下Flask框架下的SSTI漏洞相关知识
Python常见安全漏洞及修复方法集合!你所不会的这里都有!
weixin_33895695的博客
11-17 467
概述编写安全的代码很困难,当你学习一门编程语言、一个模块或框架时,你会学习其使用方法。在考虑安全性时,你需要考虑如何避免代码被滥用,Python也不例外,即使在标准库,也存在着许多糟糕的实例。然而,许多 Python 开发人员却根本不知道这些。以下是我总结的10Python常见安全漏洞,排名不分先后。1、输入注入注入攻击影响广泛且很常见,注入有很多种类,它们影响所有的语言、框架和环境。SQL ...
警惕!Python 少为人知的 10 个安全陷阱!
最新发布
xxue345678的博客
04-20 927
在这篇博文,我们介绍了 10Python 安全陷阱,我们认为开发者不太了解它们。每个细微的陷阱都很容易被忽视,并在过去导致了线上程序的安全漏洞。正如前文所述,安全陷阱可能出现在各种操作,从处理文件、目录、压缩文件、URL、IP 到简单的字符串。一种常见的情况是库函数的使用,这些函数可能有意想不到的行为。这提醒我们一定要升级到最新版本,并仔细阅读文档。在 SonarSource ,我们正在研究这些缺陷,以便将来不断改进我们的代码分析器。
python3基础学习(http host头攻击漏洞POC)
weixin_33682719的博客
11-12 504
  简单版http host头攻击漏洞POC,没有对异常进行处理,没有对意外情况进行处理,所以是简单版!代码如下: from urllib import request import sys import re url=sys.argv[1] header={'Host' : 'www.eth10.com'} req=request.Request(u...
使用python和bash反弹shell的方法详解
weixin_45588247的博客
07-20 3389
实验名称:实验(反向反弹) 实验环境: 攻击(攻击者)主机: Kali2020.2 虚拟机 nat 192.168.254.132 目标(受害者)主机: Centos_6.0...
程序设计之HardCoding
gzyes
03-24 1665
写死 (英文称 hard code, hard coding) 指的是在软体实作上,把输出或输入的相关参数 (例如:路径、输出的形式、格式) 直接写死在原始码,而非在执行时期由外界指定的设定、资源、资料、或者格式做出适当回应
python资源管理错误漏洞_Python10常见安全漏洞及修复方法
06-13
好的,以下是Python10常见安全漏洞及修复方法: 1. 资源管理错误漏洞:在使用文件、网络连接等资源时,没有正确处理异常或释放资源,导致资源泄漏或被滥用。修复方法:使用try-finally或with语句确保资源释放,或使用上下文管理器。 2. 注入漏洞:在使用动态SQL查询时,没有正确过滤用户输入,导致恶意代码被注入并执行。修复方法:使用参数化查询,或使用ORM框架。 3. XSS漏洞:在Web应用,没有正确过滤和编码用户输入,导致恶意代码被注入并执行。修复方法:使用HTML编码或转义,或使用模板引擎。 4. CSRF漏洞:攻击者通过伪造请求,利用用户的身份在受信任的网站上执行操作。修复方法:使用CSRF令牌,或在请求添加Referer检查。 5. 加密弱点:使用弱加密算法或不正确的密钥管理,导致加密数据易受攻击。修复方法:使用强加密算法和密钥管理,如AES、RSA等。 6. 权限管理漏洞:没有正确限制用户的权限,导致用户可以执行未授权的操作。修复方法:使用RBAC、ACL等权限管理模型,或使用框架提供的权限管理功能。 7. 文件上传漏洞:没有正确验证和限制用户上传的文件类型和大小,导致恶意文件被上传并执行。修复方法:限制文件类型和大小,并对上传的文件进行检测和处理。 8. DOS攻击:攻击者通过发送大量请求或恶意数据包,导致服务器或应用程序崩溃或无法响应。修复方法:使用限流、防火墙等技术进行防御。 9. 认证漏洞:没有正确验证用户的身份和权限,导致未经授权的用户可以访问敏感数据或执行操作。修复方法:使用安全认证协议、密码加盐、多因素认证等技术进行防御。 10. 代码注入漏洞:在使用动态代码执行时,没有正确过滤用户输入,导致恶意代码被注入并执行。修复方法:使用静态代码分析、白名单过滤等技术进行防御。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值