震驚！別這樣直接運行 Python 命令，不然電腦等於「裸奔」

Python 已經成爲全球最受歡迎的編程語言之一。緣由固然是 Python 簡明易用的腳本語法，只需把一段程序放入 .py 文件中，就能快速運行

並且 Python 語言很容易上手模塊。好比你編寫了一個模塊my_lib.py，只需在調用這個模塊的程序中加入一行import my_lib便可

這樣設計的好處是，初學者可以很是方便地執行命令。可是對攻擊者來講，這等因而爲惡意程序大開後門

尤爲是一些初學者將網上的 Python 軟件包、代碼下載的到本地~/Downloads文件夾後，就直接在此路徑下運行 python 命令，這樣作會給電腦帶來極大的隱患

別再圖方便了

爲什麼這樣作會有危險？首先，咱們要了解 Python 程序安全運行須要知足的三個條件：

1. 系統路徑上的每一個條目都處於安全的位置
2. 「主腳本」 所在的目錄始終位於系統路徑中
3. 若 python 命令使用 -c 和 -m 選項，調用程序的目錄也必須是安全的

若是你運行的是正確安裝的 Python，那麼Python 安裝目錄和 virtualenv 以外惟一會自動添加到系統路徑的位置，就是當前主程序的安裝目錄

這就是安全隱患的來源，下面用一個實例告訴你爲何

若是你把 pip 安裝在 /usr/bin文件夾下，並運行 pip 命令，因爲/usr/bin是系統路徑，所以這是一個很是安全的地方

可是，有些人並不喜歡直接使用 pip，而是更喜歡調用 /path/to/python -m pip

這樣作的好處是能夠避免環境變量 $PATH 設置的複雜性，並且對於 Windows 用戶來講，也能夠避免處理安裝各類 exe 腳本和文檔

因此問題就來了，若是你的下載文件中有一個叫作 pip.py 的文件，那麼你將它將取代系統自帶的 pip，接管你的程序

不少人學習python，不知道從何學起。
不少人學習python，掌握了基本語法事後，不知道在哪裏尋找案例上手。
不少已經作案例的人，殊不知道如何去學習更加高深的知識。
那麼針對這三類人，我給你們提供一個好的學習平臺，免費領取視頻教程，電子書籍，以及課程的源代碼！
QQ羣：957324352

下載文件夾並不安全

好比你不是從 PyPI，而是直接從網上直接下載了一個 Python wheel 文件，你很天然地輸入如下命令來安裝它：

$ cd ~/Downloads
$ python -m pip install ./totally-legit-package.whl

這彷佛是一件很合理的事情

但你不知道的是，這麼操做頗有可能訪問帶有 XSS JavaScript 的站點，並將帶有惡意軟件的的pip.py到下載文件夾中

下面是一個惡意攻擊軟件的演示實例：

~$ mkdir attacker_dir
~$ cd attacker_dir

$ echo 'print("lol ur pwnt")' > pip.py
$ python -m pip install requests
lol ur pwnt

看到了嗎？這段代碼生成了一個 pip.py，而且代替系統的 pip 接管了程序

設置$PYTHONPATH也不安全

前面已經說過，Python 只會調用系統路徑、virtualenv 虛擬環境路徑以及當前主程序路徑

你也許會說，那我手動設置一下 $PYTHONPATH 環境變量，不把當前目錄放在環境變量裏，這樣不就安全了嗎？

非也！不幸的是，你可能會遭遇另外一種攻擊方式。下面讓咱們模擬一個「脆弱的」 Python 程序：

# tool.py
try:
      import optional_extra
except ImportError:
      print("extra not found, that's fine")

而後建立 2 個目錄：install_dir和attacker_dir。將上面的程序放在 install_dir 中

而後 cd attacker_dir 將複雜的惡意軟件放在這裏，並把它的名字改爲 tool.py 調用的 optional_extra 模塊：

# optional_extra.py
print("lol ur pwnt")

咱們運行一下它：

$ cd ~/attacker_dir
$ python ../install_dir/tool.py
extra not found, that's fine

到這裏還很好，沒有出現任何問題

可是這個習慣用法有一個嚴重的缺陷：第一次調用它時，若是 $PYTHONPATH 之前是空的或者未設置，那麼它會包含一個空字符串，該字符串被解析爲當前目錄

讓咱們再嘗試一下：

~/attacker_dir$ export PYTHONPATH="/a/perfectly/safe/place:$PYTHONPATH";
~/attacker_dir$ python ../install_dir/tool.py
lol ur pwnt

看到了嗎？惡意腳本接管了程序

爲了安全起見，你可能會認爲，清空 $PYTHONPATH總該沒問題了吧？Naive！仍是不安全！

~/attacker_dir$ export PYTHONPATH="";
~/attacker_dir$ python ../install_dir/tool.py
lol ur pwnt

這裏發生的事情是，$PYTHONPATH變成空的了，這和 unset 是不同的

由於在Python裏，os.environ.get(「PYTHONPATH」) == 「」和 os.environ.get(「PYTHONPATH」) == None是不同的

若是要確保 $PYTHONPATH 已從 shell 中清除，則須要使用 unset 命令處理一遍，而後就正常了

設置PYTHONPATH曾經是設置 Python 開發環境的最經常使用方法。但你之後最好別再用它了，virtualenv 能夠更好地知足開發者需求。若是你過去設置了一個PYTHONPATH曾經是設置Python開發環境的最常用方法。但你以後最好別再用它了，virtualenv可以更好地滿足開發者需求。如果你過去設置了一個PYTHONPATH，如今是很好的機會，把它刪除了吧

若是你確實須要在 shell 中使用 PYTHONPATH，請用如下方法：

export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_1"
export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_2"

在bash和zsh中，$PYTHONPATH 變量的值會變成：

$ echo "${PYTHONPATH}"
new_entry_1:new_entry_2

如此便保證了環境變量 $PYTHONPATH 中沒有空格和多餘的冒號。

若是你仍在使用 $PYTHONPATH，請確保始終使用絕對路徑！

另外，在下載文件夾中直接運行 Jupyter Notebook 也是同樣危險的，好比jupyter notebook ~/Downloads/anything.ipynb也有可能將惡意程序引入到代碼中。

預防措施

最後總結一下要點。

1. 若是要在下載文件夾 ~/Downloads 中使用 Python 編寫的工具，請養成良好習慣，使用pip所在路徑 /path/to/venv/bin/pip，而不是輸入/path/to/venv/bin/python -m pip
2. 避免將 ~/Downloads 做爲當前工做目錄，並在啓動以前將要使用的任何軟件移至更合適的位置
   

瞭解 Python 從何處獲取執行代碼很是重要，賦予其餘人執行任意 Python 命令的能力等同於賦予他對你電腦的徹底控制權

在這裏推薦下我本身的Python開發學習羣:957324352，羣裏都是學Python開發的，若是你想學或者正在學習Python ，歡迎你加入，你們都是軟件開發黨，不按期分享乾貨（只有Python軟件開發相關的），包括我本身整理的一份2020最新的Python進階資料和高級開發教程，歡迎進階中和進想深刻Python的小夥伴！