點擊藍色「Python空間」關注我丫python
加個「星標」,天天一塊兒快樂的學習git
Python已經成爲全球最受歡迎的編程語言之一。緣由固然是Python簡明易用的腳本語法,只需把一段程序放入.py文件中,就能快速運行。web
並且Python語言很容易上手模塊。好比你編寫了一個模塊my_lib.py,只需在調用這個模塊的程序中加入一行import my_lib便可。shell
這樣設計的好處是,初學者可以很是方便地執行命令。可是對攻擊者來講,這等因而爲惡意程序大開後門。編程
尤爲是一些初學者將網上的Python軟件包、代碼下載的到本地~/Downloads文件夾後,就直接在此路徑下運行python命令,這樣作會給電腦帶來極大的隱患。安全
別再圖方便了
爲什麼這樣作會有危險?首先,咱們要了解Python程序安全運行須要知足的三個條件:bash
系統路徑上的每一個條目都處於安全的位置;微信
「主腳本」所在的目錄始終位於系統路徑中;app
若python命令使用-c和-m選項,調用程序的目錄也必須是安全的。編程語言
若是你運行的是正確安裝的Python,那麼Python安裝目錄和virtualenv以外惟一會自動添加到系統路徑的位置,就是當前主程序的安裝目錄。
這就是安全隱患的來源,下面用一個實例告訴你爲何。
若是你把pip安裝在 /usr/bin文件夾下,並運行pip命令。因爲/usr/bin是系統路徑,所以這是一個很是安全的地方。
可是,有些人並不喜歡直接使用pip,而是更喜歡調用/path/to/python -m pip。
這樣作的好處是能夠避免環境變量 $PATH 設置的複雜性,並且對於Windows用戶來講,也能夠避免處理安裝各類exe腳本和文檔。
因此問題就來了,若是你的下載文件中有一個叫作pip.py的文件,那麼你將它將取代系統自帶的pip,接管你的程序。
下載文件夾並不安全
好比你不是從PyPI,而是直接從網上直接下載了一個Python wheel文件。你很天然地輸入如下命令來安裝它:
$ cd ~/Downloads
$ python -m pip install ./totally-legit-package.whl
這彷佛是一件很合理的事情。但你不知道的是,這麼操做頗有可能訪問帶有 XSS JavaScript 的站點,並將帶有惡意軟件的的pip.py到下載文件夾中。
下面是一個惡意攻擊軟件的演示實例:
~$ mkdir attacker_dir
~$ cd attacker_dir
$ echo 'print("lol ur pwnt")' > pip.py
$ python -m pip install requests
lol ur pwnt
看到了嗎?這段代碼生成了一個pip.py,而且代替系統的pip接管了程序。
設置$PYTHONPATH也不安全
前面已經說過,Python只會調用系統路徑、virtualenv虛擬環境路徑以及當前主程序路徑
你也許會說,那我手動設置一下 $PYTHONPATH 環境變量,不把當前目錄放在環境變量裏,這樣不就安全了嗎?
非也!不幸的是,你可能會遭遇另外一種攻擊方式。下面讓咱們模擬一個「脆弱的」Python程序:
# tool.py
try:
import optional_extra
except ImportError:
print("extra not found, that's fine")
而後建立2個目錄:install_dir和attacker_dir。將上面的程序放在install_dir中。而後cd attacker_dir將複雜的惡意軟件放在這裏,並把它的名字改爲tool.py調用的optional_extra模塊:
# optional_extra.py
print("lol ur pwnt")
咱們運行一下它:
$ cd ~/attacker_dir
$ python ../install_dir/tool.py
extra not found, that's fine
到這裏還很好,沒有出現任何問題。
可是這個習慣用法有一個嚴重的缺陷:第一次調用它時,若是 $PYTHONPATH 之前是空的或者未設置,那麼它會包含一個空字符串,該字符串被解析爲當前目錄。
讓咱們再嘗試一下:
~/attacker_dir$ export PYTHONPATH="/a/perfectly/safe/place:$PYTHONPATH";
~/attacker_dir$ python ../install_dir/tool.py
lol ur pwnt
看到了嗎?惡意腳本接管了程序。
爲了安全起見,你可能會認爲,清空 $PYTHONPATH總該沒問題了吧?Naive!仍是不安全!
~/attacker_dir$ export PYTHONPATH="";
~/attacker_dir$ python ../install_dir/tool.py
lol ur pwnt
這裏發生的事情是,$PYTHONPATH變成空的了,這和unset是不同的。
由於在Python裏,os.environ.get(「PYTHONPATH」) == 「」和 os.environ.get(「PYTHONPATH」) == None是不同的。
若是要確保 $PYTHONPATH 已從shell中清除,則須要使用unset命令處理一遍,而後就正常了。
設置$PYTHONPATH曾經是設置Python開發環境的最經常使用方法。但你之後最好別再用它了,virtualenv能夠更好地知足開發者需求。若是你過去設置了一個$PYTHONPATH,如今是很好的機會,把它刪除了吧。
若是你確實須要在shell中使用PYTHONPATH,請用如下方法:
export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_1"
export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_2"
在bash和zsh中,$PYTHONPATH 變量的值會變成:
$ echo "${PYTHONPATH}"
new_entry_1:new_entry_2
如此便保證了環境變量 $PYTHONPATH 中沒有空格和多餘的冒號。
若是你仍在使用$PYTHONPATH,請確保始終使用絕對路徑!
另外,在下載文件夾中直接運行Jupyter Notebook也是同樣危險的,好比jupyter notebook ~/Downloads/anything.ipynb也有可能將惡意程序引入到代碼中。
預防措施
最後總結一下要點。
若是要在下載文件夾~/Downloads中使用Python編寫的工具,請養成良好習慣,使用pip所在路徑
/path/to/venv/bin/pip,而不是輸入/path/to/venv/bin/python -m pip。避免將~/Downloads做爲當前工做目錄,並在啓動以前將要使用的任何軟件移至更合適的位置。
瞭解Python從何處獲取執行代碼很是重要。賦予其餘人執行任意Python命令的能力等同於賦予他對你電腦的徹底控制權!
但願以上文字對初學Python的你有所幫助。
我將本身的原創文章整理成了一本電子書,取名《Python修煉之道》,一共 400 頁,17w+ 字,目錄以下:
如今免費送給你們,在個人公衆號後臺回覆 修煉之道 便可獲取。
最後我最近建了一個讀者交流羣,想加入的能夠在公衆號後臺回覆「加羣」便可~
👆掃描上方二維碼便可關注
本文分享自微信公衆號 - Python空間(Devtogether)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。