Python實戰社羣php
Java實戰社羣html
長按識別下方二維碼,按需求添加python
掃碼關注添加客服git
進Python社羣▲程序員
掃碼關注添加客服web
進Java社羣▲shell
曉查 編譯整理
量子位 報道 | 公衆號 QbitAI
Python已經成爲全球最受歡迎的編程語言之一。緣由固然是Python簡明易用的腳本語法,只需把一段程序放入.py文件中,就能快速運行。編程
並且Python語言很容易上手模塊。好比你編寫了一個模塊my_lib.py,只需在調用這個模塊的程序中加入一行import my_lib便可。安全
這樣設計的好處是,初學者可以很是方便地執行命令。可是對攻擊者來講,這等因而爲惡意程序大開後門。bash
尤爲是一些初學者將網上的Python軟件包、代碼下載的到本地~/Downloads文件夾後,就直接在此路徑下運行python命令,這樣作會給電腦帶來極大的隱患。
別再圖方便了
爲什麼這樣作會有危險?首先,咱們要了解Python程序安全運行須要知足的三個條件:
系統路徑上的每一個條目都處於安全的位置;
「主腳本」所在的目錄始終位於系統路徑中;
若python命令使用-c和-m選項,調用程序的目錄也必須是安全的。
若是你運行的是正確安裝的Python,那麼Python安裝目錄和virtualenv以外惟一會自動添加到系統路徑的位置,就是當前主程序的安裝目錄。
這就是安全隱患的來源,下面用一個實例告訴你爲何。
若是你把pip安裝在/usr/bin文件夾下,並運行pip命令。因爲/usr/bin是系統路徑,所以這是一個很是安全的地方。
可是,有些人並不喜歡直接使用pip,而是更喜歡調用/path/to/python -m pip。
這樣作的好處是能夠避免環境變量$PATH設置的複雜性,並且對於Windows用戶來講,也能夠避免處理安裝各類exe腳本和文檔。
因此問題就來了,若是你的下載文件中有一個叫作pip.py的文件,那麼你將它將取代系統自帶的pip,接管你的程序。
下載文件夾並不安全
好比你不是從PyPI,而是直接從網上直接下載了一個Python wheel文件。你很天然地輸入如下命令來安裝它:
~$ cd Downloads ~/Downloads$ python -m pip install ./totally-legit-package.whl
這彷佛是一件很合理的事情。但你不知道的是,這麼操做頗有可能訪問帶有XSS JavaScript的站點,並將帶有惡意軟件的的pip.py到下載文件夾中。
下面是一個惡意攻擊軟件的演示實例:
~$ mkdir attacker_dir
~$ cd attacker_dir
~/attacker_dir$ echo 'print("lol ur pwnt")' > pip.py
~/attacker_dir$ python -m pip install requests
lol ur pwnt
看到了嗎?這段代碼生成了一個pip.py,而且代替系統的pip接管了程序。
設置$PYTHONPATH也不安全
前面已經說過,Python只會調用系統路徑、virtualenv虛擬環境路徑以及當前主程序路徑
你也許會說,那我手動設置一下 $PYTHONPATH 環境變量,不把當前目錄放在環境變量裏,這樣不就安全了嗎?
非也!不幸的是,你可能會遭遇另外一種攻擊方式。下面讓咱們模擬一個「脆弱的」Python程序:
# tool.py
try:
import optional_extra
except ImportError:
print("extra not found, that's fine")
而後建立2個目錄:install_dir和attacker_dir。將上面的程序放在install_dir中。而後cd attacker_dir將複雜的惡意軟件放在這裏,並把它的名字改爲tool.py調用的optional_extra模塊:
# optional_extra.py
print("lol ur pwnt")
咱們運行一下它:
~/attacker_dir$ python ../install_dir/tool.py extra not found, that's fine
到這裏還很好,沒有出現任何問題。
可是這個習慣用法有一個嚴重的缺陷:第一次調用它時,若是$PYTHONPATH之前是空的或者未設置,那麼它會包含一個空字符串,該字符串被解析爲當前目錄。
讓咱們再嘗試一下:
~/attacker_dir$ export PYTHONPATH="/a/perfectly/safe/place:$PYTHONPATH"; ~/attacker_dir$ python ../install_dir/tool.py lol ur pwnt
看到了嗎?惡意腳本接管了程序。
爲了安全起見,你可能會認爲,清空$PYTHONPATH總該沒問題了吧?Naive!仍是不安全!
~/attacker_dir$ export PYTHONPATH=""; ~/attacker_dir$ python ../install_dir/tool.py lol ur pwnt
這裏發生的事情是,$PYTHONPATH變成空的了,這和unset是不同的。
由於在Python裏,os.environ.get(「PYTHONPATH」) == 「」和os.environ.get(「PYTHONPATH」) == None是不同的。
若是要確保$PYTHONPATH已從shell中清除,則須要使用unset命令處理一遍,而後就正常了。
設置$PYTHONPATH曾經是設置Python開發環境的最經常使用方法。但你之後最好別再用它了,virtualenv能夠更好地知足開發者需求。若是你過去設置了一個$PYTHONPATH,如今是很好的機會,把它刪除了吧。
若是你確實須要在shell中使用PYTHONPATH,請用如下方法:
export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_1"
export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_2"
在bash和zsh中,$PYTHONPATH變量的值會變成:
$ echo "${PYTHONPATH}"
new_entry_1:new_entry_2
如此便保證了環境變量$PYTHONPATH中沒有空格和多餘的冒號。
若是你仍在使用$PYTHONPATH,請確保始終使用絕對路徑!
另外,在下載文件夾中直接運行Jupyter Notebook也是同樣危險的,好比jupyter notebook ~/Downloads/anything.ipynb也有可能將惡意程序引入到代碼中。
預防措施
最後總結一下要點。
若是要在下載文件夾~/Downloads中使用Python編寫的工具,請養成良好習慣,使用pip所在路徑/path/to/venv/bin/pip,而不是輸入/path/to/venv/bin/python -m pip。
避免將~/Downloads做爲當前工做目錄,並在啓動以前將要使用的任何軟件移至更合適的位置。
瞭解Python從何處獲取執行代碼很是重要。賦予其餘人執行任意Python命令的能力等同於賦予他對你電腦的徹底控制權!
但願以上文字對初學Python的你有所幫助。
原文連接:
https://glyph.twistedmatrix.com/2020/08/never-run-python-in-your-downloads-folder.html
程序員專欄 掃碼關注填加客服 長按識別下方二維碼進羣
近期精彩內容推薦:
在看點這裏好文分享給更多人↓↓