乐趣区

关于python:这样直接运行Python命令电脑等于裸奔

Python 曾经成为寰球最受欢迎的编程语言之一。起因当然是 Python 扼要易用的脚本语法,只需把一段程序放入.py 文件中,就能疾速运行。

而且 Python 语言很容易上手模块。比方你编写了一个模块 my_lib.py,只需在调用这个模块的程序中退出一行 import my_lib 即可。

这样设计的益处是,初学者可能十分不便地执行命令。然而对攻击者来说,这等于是为恶意程序大开后门。

尤其是一些初学者将网上的 Python 软件包、代码下载到本地~/Downloads 文件夹后,就间接在此门路下运行 python 命令,这样做会给电脑带来极大的隐患。

别再图不便了

为何这样做会有危险?首先,咱们要理解 Python 程序平安运行须要满足的三个条件:

  • 零碎门路上的每个条目都处于平安的地位;
  • “主脚本”所在的目录始终位于零碎门路中;
  • 若 python 命令应用 - c 和 - m 选项,调用程序的目录也必须是平安的。

如果你运行的是正确装置的 Python,那么 Python 装置目录和 virtualenv 之外惟一会主动增加到零碎门路的地位,就是以后主程序的装置目录。

这就是安全隐患的起源,上面用一个实例通知你为什么。

如果你把 pip 装置在 /usr/bin 文件夹下,并运行 pip 命令。因为 /usr/bin 是零碎门路,因而这是一个十分平安的中央。

然而,有些人并不喜爱间接应用 pip,而是更喜爱调用 /path/to/python -m pip。

这样做的益处是能够防止环境变量 $PATH 设置的复杂性,而且对于 Windows 用户来说,也能够防止解决装置各种 exe 脚本和文档。

所以问题就来了,如果你的下载文件中有一个叫做 pip.py 的文件,那么你将它将取代零碎自带的 pip,接管你的程序。

下载文件夹并不平安

比方你不是从 PyPI,而是间接从网上间接下载了一个 Python wheel 文件。你很天然地输出以下命令来装置它:

~$ cd Downloads
~/Downloads$ python -m pip install ./totally-legit-package.whl

这仿佛是一件很正当的事件。但你不晓得的是,这么操作很有可能拜访带有 XSS JavaScript 的站点,并将带有恶意软件的的 pip.py 到下载文件夹中。

上面是一个歹意攻打软件的演示实例:

~$ mkdir attacker_dir
~$ cd attacker_dir
~/attacker_dir$ echo 'print("lol ur pwnt")' > pip.py
~/attacker_dir$ python -m pip install requests
lol ur pwnt

看到了吗?这段代码生成了一个 pip.py,并且代替零碎的 pip 接管了程序。

设置 $PYTHONPATH 也不平安

后面曾经说过,Python 只会调用零碎门路、virtualenv 虚拟环境门路以及以后主程序门路。

你兴许会说,那我手动设置一下 $PYTHONPATH 环境变量,不把当前目录放在环境变量里,这样不就平安了吗?

非也!可怜的是,你可能会遭逢另一种攻击方式。上面让咱们模仿一个“软弱的”Python 程序:

# tool.py
try:
    import optional_extra
except ImportError:
    print("extra not found, that's fine")

而后创立 2 个目录:install_dir 和 attacker_dir。将下面的程序放在 install_dir 中。而后 cd attacker_dir 将简单的恶意软件放在这里,并把它的名字改成 tool.py 调用的 optional_extra 模块:

# optional_extra.py
print("lol ur pwnt")

咱们运行一下它:

~/attacker_dir$ python ../install_dir/tool.py
extra not found, that's fine

到这里还很好,没有呈现任何问题。

然而这个习惯用法有一个重大的缺点:第一次调用它时,如果 $PYTHONPATH 以前是空的或者未设置,那么它会蕴含一个空字符串,该字符串被解析为当前目录。

让咱们再尝试一下:

~/attacker_dir$ export PYTHONPATH="/a/perfectly/safe/place:$PYTHONPATH";
~/attacker_dir$ python ../install_dir/tool.py
lol ur pwnt

看到了吗?歹意脚本接管了程序。

为了平安起见,你可能会认为,清空 $PYTHONPATH 总该没问题了吧?

Naive!还是不平安!

~/attacker_dir$ export PYTHONPATH="";
~/attacker_dir$ python ../install_dir/tool.py
lol ur pwnt

这里产生的事件是,$PYTHONPATH 变成空的了,这和 unset 是不一样的。

因为在 Python 里,os.environ.get(“PYTHONPATH”) ==“”和 os.environ.get(“PYTHONPATH”) == None 是不一样的。

如果要确保 $PYTHONPATH 已从 shell 中革除,则须要应用 unset 命令解决一遍,而后就失常了。

设置 $PYTHONPATH 已经是设置 Python 开发环境的最罕用办法。但你当前最好别再用它了,virtualenv 能够更好地满足开发者需要。

如果你过来设置了一个 $PYTHONPATH,当初是很好的机会,把它删除了吧。如果你的确须要在 shell 中应用 PYTHONPATH,请用以下办法:

export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_1"
export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_2"

在 bash 和 zsh 中,$PYTHONPATH 变量的值会变成:

$ echo "${PYTHONPATH}"
new_entry_1:new_entry_2

如此便保障了环境变量 $PYTHONPATH 中没有空格和多余的冒号。

如果你仍在应用 $PYTHONPATH,请确保始终应用绝对路径!

另外,在下载文件夹中间接运行 Jupyter Notebook 也是一样危险的,比方 jupyter notebook ~/Downloads/anything.ipynb 也有可能将恶意程序引入到代码中。

预防措施

最初总结一下要点。

1、如果要在下载文件夹~/Downloads 中应用 Python 编写的工具,请养成良好习惯,应用 pip 所在门路 /path/to/venv/bin/pip,而不是输出 /path/to/venv/bin/python -m pip。

2、防止将~/Downloads 作为当前工作目录,并在启动之前将要应用的任何软件移至更适合的地位。

理解 Python 从何处获取执行代码十分重要。赋予其他人执行任意 Python 命令的能力等同于赋予他对你电脑的齐全控制权!

退出移动版