中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Python安全編碼與代碼審計是怎樣的

發布時間:2021-12-02 17:30:14 來源:億速云 閱讀:160 作者:柒染 欄目:安全技術

這篇文章給大家介紹Python安全編碼與代碼審計是怎樣的,內容非常詳細,感興趣的小伙伴們可以參考借鑒,希望對大家能有所幫助。

1 前言

現在一般的web開發框架安全已經做的挺好的了,比如大家常用的django,但是一些不規范的開發方式還是會導致一些常用的安全問題,下面就針對這些常用問題做一些總結。代碼審計準備部分見《php代碼審計》,這篇文檔主要講述各種常用錯誤場景,基本上都是咱們自己的開發人員犯的錯誤,敏感信息已經去除。

2 XSS

未對輸入和輸出做過濾,場景:

def xss_test(request):    name = request.GET['name']    return HttpResponse('hello %s' %(name))

在代碼中一搜,發現有大量地方使用,比較正確的使用方式如下:

def xss_test(request): name = request.GET['name'] #return HttpResponse('hello %s' %(name))

return render_to_response('hello.html', {'name':name})

更好的就是對輸入做限制,比如說一個正則范圍,輸出使用正確的api或者做好過濾。

3 CSRF

對系統中一些重要的操作要做CSRF防護,比如登錄,關機,掃描等。django 提供CSRF中間件django.middleware.csrf.CsrfViewMiddleware,寫入到settings.py的中間件即可。另外再在函數前加上@csrf_exempt修飾器。

4 命令注入

審計代碼過程中發現了一些編寫代碼的不好的習慣,體現最嚴重的就是在命令注入方面,本來python自身的一些函數庫就能完成的功能,偏偏要調用os.system來通過shell 命令執行來完成,老實說最煩這種寫代碼的啦。下面舉個簡單的例子:

 def myserve(request, filename, dirname):  re = serve(request=request,path=filename,document_root=dirname,show_indexes=True)  filestr='authExport.dat'  re['Content-Disposition'] = 'attachment; filename="' + urlquote(filestr) +'"'fullname=os.path.join(dirname,filename)  os.system('sudo rm -f %s'%fullname)  return re

很顯然這段代碼是存在問題的,因為fullname是用戶可控的。正確的做法是不使用os.system接口,改成python自有的庫函數,這樣就能避免命令注入。python的三種刪除文件方式:

(1)shutil.rmtree 刪除一個文件夾及所有文件

(2)os.rmdir 刪除一個空目錄

(3)os.remove,unlink 刪除一個文件

使用了上述接口之后還得注意不能穿越目錄,不然整個系統都有可能被刪除了。常見的存在命令執行風險的函數如下:

os.system,os.popen,os.spaw*,os.exec*,os.open,os.popen*,commands.call,commands.getoutput,Popen*

推薦使用subprocess模塊,同時確保shell=True未設置,否則也是存在注入風險的。

5 sql注入

如果是使用django的api去操作數據庫就應該不會有sql注入了,但是因為一些其他原因使用了拼接sql,就會有sql注入風險。下面貼一個有注入風險的例子:

def getUsers(user_id=None): conn = psycopg2.connect("dbname='××' user='××' host='' password=''") cur = conn.cursor(cursor_factory=psycopg2.extras.DictCursor) if user_id==None:  str = 'select distinct * from auth_user' else:  str='select distinct * from auth_user where id=%d'%user_id
  res = cur.execute(str)  res = cur.fetchall()  conn.close() return res

像這種sql拼接就有sql注入問題,正常情況下應該使用django的數據庫api,如果實在有這方面的需求,可以按照如下方式寫:

def user_contacts(request): user = request.GET['username'] sql = "SELECT * FROM user_contacts WHERE username = %s" cursor = connection.cursor() cursor.execute(sql, [user]) # do something with the results results = cursor.fetchone() #or results = cursor.fetchall() cursor.close()

直接拼接的是萬萬不可的,如果采用ModelInstance.objects.raw(sql,[]),或者connection.objects.execute(sql,[]) ,通過列表傳進去的參數是沒有注入風險的,因為django會有處理。

6 代碼執行

一般是由于eval和pickle.loads的濫用造成的,特別是eval,大家都沒有意識到這方面的問題。下面舉個代碼中的例子:

@login_required@permission_required("accounts.newTask_assess")def targetLogin(request): req = simplejson.loads(request.POST['loginarray']) req=unicode(req).encode("utf-8") loginarray=eval(req) ip=_e(request,'ipList') #targets=base64.b64decode(targets) (iplist1,iplist2)=getIPTwoList(ip) iplist1=list(set(iplist1)) iplist2=list(set(iplist2)) loginlist=[] delobjs=[] holdobjs=[]

這一段代碼就是就是因為eval的參數不可控,導致任意代碼執行,正確的做法就是literal.eval接口。再取個pickle.loads的例子:

>>> import cPickle>>> cPickle.loads("cos\nsystem\n(S'uname -a'\ntR.")Linux RCM-RSAS-V6-Dev 3.9.0-aurora #4 SMP PREEMPT Fri Jun 7 14:50:52 CST 2013 i686 Intel(R) Core(TM) i7-2600 CPU @ 3.40GHz GenuineIntel GNU/Linux0

7 文件操作

文件操作主要包含任意文件下載,刪除,寫入,覆蓋等,如果能達到寫入的目的時基本上就能寫一個webshell了。下面舉個任意文件下載的例子:

@login_required@permission_required("accounts.newTask_assess")def exportLoginCheck(request,filename): if re.match(r“*.lic”,filename):  fullname = filename
 else:  fullname = "/tmp/test.lic"  print fullname
 return HttpResponse(fullname)

這段代碼就存在著任意.lic文件下載的問題,沒有做好限制目錄穿越,同理

8 文件上傳

8.1 任意文件上傳

這里主要是未限制文件大小,可能導致ddos,未限制文件后綴,導致任意文件上傳,未給文件重命名,可能導致目錄穿越,文件覆蓋等問題。

8.2 xml,excel等上傳

在我們的產品中經常用到xml來保存一些配置文件,同時也支持xml文件的導出導入,這樣在libxml2.9以下就可能導致xxe漏洞。就拿lxml來說吧:

root@kali:~/python# cat test.xml<?xml version="1.0" encoding="utf-8"?><!DOCTYPE xdsec [ <!ENTITY xxe SYSTEM "file:///etc/passwd" >]><root><node id="11" name="bb" net="192.168.0.2-192.168.0.37" ltd="" gid="" />test&xxe;</root>>>> from lxml import etree
>>> tree1 = etree.parse('test.xml')
>>> print etree.tostring(tree1.getroot())<root><node id="11" name="bb" net="192.168.0.2-192.168.0.37" ltd="" gid=""/>testroot:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh

這是因為在lxml中默認采用的XMLParser導致的:

class XMLParser(_FeedParser)
| XMLParser(self, encoding=None, attribute_defaults=False, dtd_validation=False, load_dtd=False, no_network=True, ns_clean=False, recover=False, XMLSchema schema=None, remove_blank_text=False, resolve_entities=True, remove_comments=False, remove_pis=False, strip_cdata=True, target=None, compact=True)

關注其中兩個關鍵參數,其中resolve_entities=True,no_network=True,其中resolve_entities=True會導致解析實體,no_network會為True就導致了該利用條件比較有效,會導致一些ssrf問題,不能將數據帶出。在python中xml.dom.minidom,xml.etree.ElementTree不受影響

9 不安全的封裝

9.1 eval 封裝不徹底

僅僅是將__builtings__置為空,如下方式即可繞過,可參見bug84179

>>> s2="""
... [x for x in ().__class__.__bases__[0].__subclasses__()
... if x.__name__ == "zipimporter"][0](
... "/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module(
... "configobj").os.system("uname")
... """
>>> eval(s2,{'__builtins__':{}})
Linux
0

9.2 執行命令接口封裝不徹底

在底層封裝函數沒有過濾shell元字符,僅僅是限定一些命令,但是其參數未做控制,可參見bug86011

10 總結

1、一切輸入都是不可靠的,做好嚴格過濾。

2、驗證輸入,避免注入,危險函數列表:evec(),eval(),os.system(),os.popen(),execfile(),input(),compile()

3、訪問控制

4、認證管理和session管理,url中不要帶認證信息或者用戶信息,給敏感信息加密,python的random和whrandom不是足夠強大,要獲取強大的密碼,得使用n=open('/dev/urandom') data = n.read(128)

5、xss

6、錯誤處理

7、不安全的存儲,如base64編碼密碼

8、ddos

9、配置管理,session過期時間

10、緩沖區溢出

關于Python安全編碼與代碼審計是怎樣的就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

聂荣县| 清涧县| 临桂县| 武川县| 阳山县| 呼和浩特市| 宁武县| 耿马| 宜州市| 逊克县| 松桃| 曲松县| 三河市| 通州市| 鄂州市| 五华县| 罗田县| 桃江县| 宝应县| 康定县| 仁寿县| 宽甸| 临洮县| 九江市| 宜宾县| 武义县| 仁化县| 昆山市| 札达县| 额敏县| 沅江市| 独山县| 忻州市| 镇雄县| 湟源县| 凌海市| 铜山县| 延川县| 平乐县| 上蔡县| 新民市|