破防了，Python 这 10 个安全陷阱

Python 开发者们在使用标准库和通用框架时，都以为自己的程序具有可靠的安全性。然而，在 Python 中，就像在任何其它编程语言中一样，有一些特性可能会被开发者们误解或误用。通常而言，只有极少的微妙之处或细节会使开发者们疏忽大意，从而在代码中引入严重的安全漏洞。

在这篇博文中，我们将分享在实际 Python 项目中遇到的 10 个安全陷阱。我们选择了一些在技术圈中不太为人所知的陷阱。通过介绍每个问题及其造成的影响，我们希望提高人们对这些问题的感知，并提高大家的安全意识。如果你正在使用这些特性，请一定要排查你的 Python 代码！

# 1.被优化掉的断言

Python 支持以优化的方式执行代码。这使代码运行得更快，内存用得更少。当程序被大规模使用，或者可用的资源很少时，这种方法尤其有效。一些预打包的 Python 程序提供了优化的字节码。

然而，当代码被优化时，所有的 assert 语句都会被忽略。开发者有时会使用它们来判断代码中的某些条件。例如，如果使用断言来作身份验证检查，则可能导致安全绕过。

def superuser_action(request, user):
assert user.is_super_user
# execute action as super user

在这个例子中，第 2 行中的 assert 语句将被忽略，导致非超级用户也可以运行到下一行代码。不推荐使用 assert 语句进行安全相关的检查，但我们确实在实际的项目中看到过它们。

# 2. MakeDirs 权限

os.makdirs函数可以在操作系统中创建一个或多个文件夹。它的第二个参数 mode 用于指定创建的文件夹的默认权限。在下面代码的第 2 行中，文件夹 A/B/C 是用 rwx------ (0o700) 权限创建的。这意味着只有当前用户（所有者）拥有这些文件夹的读、写和执行权限。

def init_directories(request):
os.makedirs("A/B/C", mode=0o700)
return HttpResponse("Done!")

在 Python < 3.6 版本中，创建出的文件夹 A、B 和 C 的权限都是 700。但是，在 Python > 3.6 版本中，只有最后一个文件夹 C 的权限为 700，其它文件夹 A 和 B 的权限为默认的 755。

因此，在 Python > 3.6 中，os.makdirs函数等价于 Linux 的这条命令：mkdir -m 700 -p A/B/C。有些开发者没有意识到版本之间的差异，这已经在 Django 中造成了一个权限越级漏洞（cve - 2022 -24583），无独有偶，这在 WordPress 中也造成了一个加固绕过问题。

# 3.绝对路径拼接

os.path.join(path, *paths)函数用于将多个文件路径连接成一个组合的路径。第一个参数通常包含了基础路径，而之后的每个参数都被当做组件拼接到基础路径后。

然而，这个函数有一个少有人知的特性。如果拼接的某个路径以 / 开头，那么包括基础路径在内的所有前缀路径都将被删除，该路径将被视为绝对路径。下面的示例揭示了开发者可能遇到的这个陷阱。

def read_file(request):
filename = request.POST['filename']
file_path = os.path.join("var", "lib", filename)
if file_path.find(".") != -1:
return HttpResponse("Failed!&