点击蓝色“Python空间”关注我丫python
加个“星标”,天天一块儿快乐的学习git
Python已经成为全球最受欢迎的编程语言之一。缘由固然是Python简明易用的脚本语法,只需把一段程序放入.py文件中,就能快速运行。web
并且Python语言很容易上手模块。好比你编写了一个模块my_lib.py,只需在调用这个模块的程序中加入一行import my_lib便可。shell
这样设计的好处是,初学者可以很是方便地执行命令。可是对攻击者来讲,这等因而为恶意程序大开后门。编程
尤为是一些初学者将网上的Python软件包、代码下载的到本地~/Downloads文件夹后,就直接在此路径下运行python命令,这样作会给电脑带来极大的隐患。安全
别再图方便了
为什么这样作会有危险?首先,咱们要了解Python程序安全运行须要知足的三个条件:bash
系统路径上的每一个条目都处于安全的位置;微信
“主脚本”所在的目录始终位于系统路径中;app
若python命令使用-c和-m选项,调用程序的目录也必须是安全的。编程语言
若是你运行的是正确安装的Python,那么Python安装目录和virtualenv以外惟一会自动添加到系统路径的位置,就是当前主程序的安装目录。
这就是安全隐患的来源,下面用一个实例告诉你为何。
若是你把pip安装在 /usr/bin文件夹下,并运行pip命令。因为/usr/bin是系统路径,所以这是一个很是安全的地方。
可是,有些人并不喜欢直接使用pip,而是更喜欢调用/path/to/python -m pip。
这样作的好处是能够避免环境变量 $PATH 设置的复杂性,并且对于Windows用户来讲,也能够避免处理安装各类exe脚本和文档。
因此问题就来了,若是你的下载文件中有一个叫作pip.py的文件,那么你将它将取代系统自带的pip,接管你的程序。
下载文件夹并不安全
好比你不是从PyPI,而是直接从网上直接下载了一个Python wheel文件。你很天然地输入如下命令来安装它:
$ cd ~/Downloads
$ python -m pip install ./totally-legit-package.whl
这彷佛是一件很合理的事情。但你不知道的是,这么操做颇有可能访问带有 XSS JavaScript 的站点,并将带有恶意软件的的pip.py到下载文件夹中。
下面是一个恶意攻击软件的演示实例:
~$ mkdir attacker_dir
~$ cd attacker_dir
$ echo 'print("lol ur pwnt")' > pip.py
$ python -m pip install requests
lol ur pwnt
看到了吗?这段代码生成了一个pip.py,而且代替系统的pip接管了程序。
设置$PYTHONPATH也不安全
前面已经说过,Python只会调用系统路径、virtualenv虚拟环境路径以及当前主程序路径
你也许会说,那我手动设置一下 $PYTHONPATH 环境变量,不把当前目录放在环境变量里,这样不就安全了吗?
非也!不幸的是,你可能会遭遇另外一种攻击方式。下面让咱们模拟一个“脆弱的”Python程序:
# tool.py
try:
import optional_extra
except ImportError:
print("extra not found, that's fine")
而后建立2个目录:install_dir和attacker_dir。将上面的程序放在install_dir中。而后cd attacker_dir将复杂的恶意软件放在这里,并把它的名字改为tool.py调用的optional_extra模块:
# optional_extra.py
print("lol ur pwnt")
咱们运行一下它:
$ cd ~/attacker_dir
$ python ../install_dir/tool.py
extra not found, that's fine
到这里还很好,没有出现任何问题。
可是这个习惯用法有一个严重的缺陷:第一次调用它时,若是 $PYTHONPATH 之前是空的或者未设置,那么它会包含一个空字符串,该字符串被解析为当前目录。
让咱们再尝试一下:
~/attacker_dir$ export PYTHONPATH="/a/perfectly/safe/place:$PYTHONPATH";
~/attacker_dir$ python ../install_dir/tool.py
lol ur pwnt
看到了吗?恶意脚本接管了程序。
为了安全起见,你可能会认为,清空 $PYTHONPATH总该没问题了吧?Naive!仍是不安全!
~/attacker_dir$ export PYTHONPATH="";
~/attacker_dir$ python ../install_dir/tool.py
lol ur pwnt
这里发生的事情是,$PYTHONPATH变成空的了,这和unset是不同的。
由于在Python里,os.environ.get(“PYTHONPATH”) == “”和 os.environ.get(“PYTHONPATH”) == None是不同的。
若是要确保 $PYTHONPATH 已从shell中清除,则须要使用unset命令处理一遍,而后就正常了。
设置$PYTHONPATH曾经是设置Python开发环境的最经常使用方法。但你之后最好别再用它了,virtualenv能够更好地知足开发者需求。若是你过去设置了一个$PYTHONPATH,如今是很好的机会,把它删除了吧。
若是你确实须要在shell中使用PYTHONPATH,请用如下方法:
export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_1"
export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_2"
在bash和zsh中,$PYTHONPATH 变量的值会变成:
$ echo "${PYTHONPATH}"
new_entry_1:new_entry_2
如此便保证了环境变量 $PYTHONPATH 中没有空格和多余的冒号。
若是你仍在使用$PYTHONPATH,请确保始终使用绝对路径!
另外,在下载文件夹中直接运行Jupyter Notebook也是同样危险的,好比jupyter notebook ~/Downloads/anything.ipynb也有可能将恶意程序引入到代码中。
预防措施
最后总结一下要点。
若是要在下载文件夹~/Downloads中使用Python编写的工具,请养成良好习惯,使用pip所在路径
/path/to/venv/bin/pip,而不是输入/path/to/venv/bin/python -m pip。避免将~/Downloads做为当前工做目录,并在启动以前将要使用的任何软件移至更合适的位置。
了解Python从何处获取执行代码很是重要。赋予其余人执行任意Python命令的能力等同于赋予他对你电脑的彻底控制权!
但愿以上文字对初学Python的你有所帮助。
我将本身的原创文章整理成了一本电子书,取名《Python修炼之道》,一共 400 页,17w+ 字,目录以下:
如今免费送给你们,在个人公众号后台回复 修炼之道 便可获取。
最后我最近建了一个读者交流群,想加入的能够在公众号后台回复「加群」便可~
👆扫描上方二维码便可关注
本文分享自微信公众号 - Python空间(Devtogether)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。