Python安全編碼與代碼審計(jì)

現(xiàn)在一般的web開發(fā)框架安全已經(jīng)做的挺好的了，比如大家常用的django，但是一些不規(guī)范的開發(fā)方式還是會(huì)導(dǎo)致一些常用的安全問題，下面就針對這些常用問題做一些總結(jié)。代碼審計(jì)準(zhǔn)備部分見《php代碼審計(jì)》，這篇文檔主要講述各種常用錯(cuò)誤場景，基本上都是咱們自己的開發(fā)人員犯的錯(cuò)誤，敏感信息已經(jīng)去除。

2 XSS

未對輸入和輸出做過濾，場景：

def xss_test(request):
 name = request.GET['name']
 return HttpResponse('hello %s' %(name))

在代碼中一搜，發(fā)現(xiàn)有大量地方使用，比較正確的使用方式如下：

def xss_test(request):
 name = request.GET['name']
 #return HttpResponse('hello %s' %(name))

return render_to_response('hello.html', {'name':name})

更好的就是對輸入做限制，比如說一個(gè)正則范圍，輸出使用正確的api或者做好過濾。

3 CSRF

對系統(tǒng)中一些重要的操作要做CSRF防護(hù)，比如登錄，關(guān)機(jī)，掃描等。django 提供CSRF中間件django.middleware.csrf.CsrfViewMiddleware,寫入到settings.py的中間件即可。另外再在函數(shù)前加上@csrf_exempt修飾器。

4 命令注入

審計(jì)代碼過程中發(fā)現(xiàn)了一些編寫代碼的不好的習(xí)慣，體現(xiàn)最嚴(yán)重的就是在命令注入方面，本來python自身的一些函數(shù)庫就能完成的功能，偏偏要調(diào)用os.system來通過shell 命令執(zhí)行來完成，老實(shí)說最煩這種寫代碼的啦。下面舉個(gè)簡單的例子：

 def myserve(request, filename, dirname):
 re = serve(request=request,path=filename,document_root=dirname,show_indexes=True)
 filestr='authExport.dat'
 re['Content-Disposition'] = 'attachment; filename="' + urlquote(filestr) +'"'fullname=os.path.join(dirname,filename)
 os.system('sudo rm -f %s'%fullname)
 return re

很顯然這段代碼是存在問題的，因?yàn)閒ullname是用戶可控的。正確的做法是不使用os.system接口，改成python自有的庫函數(shù)，這樣就能避免命令注入。python的三種刪除文件方式：

(1)shutil.rmtree 刪除一個(gè)文件夾及所有文件

(2)os.rmdir 刪除一個(gè)空目錄

(3)os.remove，unlink 刪除一個(gè)文件

使用了上述接口之后還得注意不能穿越目錄，不然整個(gè)系統(tǒng)都有可能被刪除了。常見的存在命令執(zhí)行風(fēng)險(xiǎn)的函數(shù)如下：

os.system,os.popen,os.spaw*,os.exec*,os.open,os.popen*,commands.call,commands.getoutput,Popen*

推薦使用subprocess模塊，同時(shí)確保shell=True未設(shè)置，否則也是存在注入風(fēng)險(xiǎn)的。

5 sql注入

如果是使用django的api去操作數(shù)據(jù)庫就應(yīng)該不會(huì)有sql注入了，但是因?yàn)橐恍┢渌蚴褂昧似唇觭ql，就會(huì)有sql注入風(fēng)險(xiǎn)。下面貼一個(gè)有注入風(fēng)險(xiǎn)的例子：

def getUsers(user_id=None):
 conn = psycopg2.connect("dbname='××' user='××' host='' password=''")
 cur = conn.cursor(cursor_factory=psycopg2.extras.DictCursor)
 if user_id==None:
 str = 'select distinct * from auth_user'
 else:
 str='select distinct * from auth_user where id=%d'%user_id
 res = cur.execute(str)
 res = cur.fetchall()
 conn.close()
 return res

像這種sql拼接就有sql注入問題，正常情況下應(yīng)該使用django的數(shù)據(jù)庫api，如果實(shí)在有這方面的需求，可以按照如下方式寫：

def user_contacts(request):
 user = request.GET['username']
 sql = "SELECT * FROM user_contacts WHERE username = %s"
 cursor = connection.cursor()
 cursor.execute(sql, [user])
 # do something with the results
 results = cursor.fetchone() #or results = cursor.fetchall()
 cursor.close()

直接拼接的是萬萬不可的，如果采用ModelInstance.objects.raw(sql,[]),或者connection.objects.execute(sql,[]) ,通過列表傳進(jìn)去的參數(shù)是沒有注入風(fēng)險(xiǎn)的，因?yàn)閐jango會(huì)有處理。

6 代碼執(zhí)行

一般是由于eval和pickle.loads的濫用造成的，特別是eval，大家都沒有意識到這方面的問題。下面舉個(gè)代碼中的例子：

@login_required@permission_required("accounts.newTask_assess")def targetLogin(request):
 req = simplejson.loads(request.POST['loginarray'])
 req=unicode(req).encode("utf-8")
 loginarray=eval(req)
 ip=_e(request,'ipList')
 #targets=base64.b64decode(targets)
 (iplist1,iplist2)=getIPTwoList(ip)
 iplist1=list(set(iplist1))
 iplist2=list(set(iplist2))
 loginlist=[]
 delobjs=[]
 holdobjs=[]

這一段代碼就是就是因?yàn)閑val的參數(shù)不可控，導(dǎo)致任意代碼執(zhí)行，正確的做法就是literal.eval接口。再取個(gè)pickle.loads的例子：

>>> import cPickle
>>> cPickle.loads("cos
system
(S'uname -a'
tR.")Linux RCM-RSAS-V6-Dev 3.9.0-aurora #4 SMP PREEMPT Fri Jun 7 14:50:52 CST 2013 i686 Intel(R) Core(TM) i7-2600 CPU @ 3.40GHz GenuineIntel GNU/Linux0

7 文件操作

文件操作主要包含任意文件下載，刪除，寫入，覆蓋等，如果能達(dá)到寫入的目的時(shí)基本上就能寫一個(gè)webshell了。下面舉個(gè)任意文件下載的例子：

@login_required@permission_required("accounts.newTask_assess")def exportLoginCheck(request,filename):
 if re.match(r“*.lic”，filename):
 fullname = filename
 else:
 fullname = "/tmp/test.lic"
 print fullname
 return HttpResponse(fullname)

這段代碼就存在著任意.lic文件下載的問題，沒有做好限制目錄穿越，同理

8 文件上傳

8.1 任意文件上傳

這里主要是未限制文件大小，可能導(dǎo)致ddos，未限制文件后綴，導(dǎo)致任意文件上傳，未給文件重命名，可能導(dǎo)致目錄穿越，文件覆蓋等問題。

8.2 xml，excel等上傳

在我們的產(chǎn)品中經(jīng)常用到xml來保存一些配置文件，同時(shí)也支持xml文件的導(dǎo)出導(dǎo)入，這樣在libxml2.9以下就可能導(dǎo)致xxe漏洞。就拿lxml來說吧：

root@kali:~/python# cat test.xml

]>
test&xxe;
>>> from lxml import etree
>>> tree1 = etree.parse('test.xml')
>>> print etree.tostring(tree1.getroot())
testroot:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh

這是因?yàn)樵趌xml中默認(rèn)采用的XMLParser導(dǎo)致的：

class XMLParser(_FeedParser)
| XMLParser(self, encoding=None, attribute_defaults=False, dtd_validation=False, load_dtd=False, no_network=True, ns_clean=False, recover=False, XMLSchema schema=None, remove_blank_text=False, resolve_entities=True, remove_comments=False, remove_pis=False, strip_cdata=True, target=None, compact=True)

關(guān)注其中兩個(gè)關(guān)鍵參數(shù)，其中resolve_entities=True,no_network=True,其中resolve_entities=True會(huì)導(dǎo)致解析實(shí)體，no_network會(huì)為True就導(dǎo)致了該利用條件比較有效，會(huì)導(dǎo)致一些ssrf問題，不能將數(shù)據(jù)帶出。在python中xml.dom.minidom,xml.etree.ElementTree不受影響

9 不安全的封裝

9.1 eval 封裝不徹底

僅僅是將__builtings__置為空，如下方式即可繞過,可參見bug84179

>>> s2="""
... [x for x in ().__class__.__bases__[0].__subclasses__()
... if x.__name__ == "zipimporter"][0](
... "/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module(
... "configobj").os.system("uname")
... """
>>> eval(s2,{'__builtins__':{}})
Linux
0

9.2 執(zhí)行命令接口封裝不徹底

在底層封裝函數(shù)沒有過濾shell元字符，僅僅是限定一些命令，但是其參數(shù)未做控制，可參見bug86011

10 總結(jié)

1、一切輸入都是不可靠的，做好嚴(yán)格過濾。

2、驗(yàn)證輸入，避免注入，危險(xiǎn)函數(shù)列表：evec(),eval(),os.system(),os.popen(),execfile(),input(),compile()

3、訪問控制

4、認(rèn)證管理和session管理，url中不要帶認(rèn)證信息或者用戶信息，給敏感信息加密，python的random和whrandom不是足夠強(qiáng)大，要獲取強(qiáng)大的密碼，得使用n=open('/dev/urandom') data = n.read(128)

5、xss

6、錯(cuò)誤處理

7、不安全的存儲(chǔ)，如base64編碼密碼

8、ddos

9、配置管理，session過期時(shí)間

10、緩沖區(qū)溢出

聲明：本網(wǎng)頁內(nèi)容旨在傳播知識，若有侵權(quán)等問題請及時(shí)與本網(wǎng)聯(lián)系，我們將在第一時(shí)間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com