震惊！别这样直接运行 Python 命令，不然电脑等于“裸奔”

Python 已经成为全球最受欢迎的编程语言之一。缘由固然是 Python 简明易用的脚本语法，只需把一段程序放入 .py 文件中，就能快速运行

并且 Python 语言很容易上手模块。好比你编写了一个模块my_lib.py，只需在调用这个模块的程序中加入一行import my_lib便可

这样设计的好处是，初学者可以很是方便地执行命令。可是对攻击者来讲，这等因而为恶意程序大开后门

尤为是一些初学者将网上的 Python 软件包、代码下载的到本地~/Downloads文件夹后，就直接在此路径下运行 python 命令，这样作会给电脑带来极大的隐患

别再图方便了

为什么这样作会有危险？首先，咱们要了解 Python 程序安全运行须要知足的三个条件：

1. 系统路径上的每一个条目都处于安全的位置
2. “主脚本” 所在的目录始终位于系统路径中
3. 若 python 命令使用 -c 和 -m 选项，调用程序的目录也必须是安全的

若是你运行的是正确安装的 Python，那么Python 安装目录和 virtualenv 以外惟一会自动添加到系统路径的位置，就是当前主程序的安装目录

这就是安全隐患的来源，下面用一个实例告诉你为何

若是你把 pip 安装在 /usr/bin文件夹下，并运行 pip 命令，因为/usr/bin是系统路径，所以这是一个很是安全的地方

可是，有些人并不喜欢直接使用 pip，而是更喜欢调用 /path/to/python -m pip

这样作的好处是能够避免环境变量 $PATH 设置的复杂性，并且对于 Windows 用户来讲，也能够避免处理安装各类 exe 脚本和文档

因此问题就来了，若是你的下载文件中有一个叫作 pip.py 的文件，那么你将它将取代系统自带的 pip，接管你的程序

不少人学习python，不知道从何学起。
不少人学习python，掌握了基本语法事后，不知道在哪里寻找案例上手。
不少已经作案例的人，殊不知道如何去学习更加高深的知识。
那么针对这三类人，我给你们提供一个好的学习平台，免费领取视频教程，电子书籍，以及课程的源代码！
QQ群：957324352

下载文件夹并不安全

好比你不是从 PyPI，而是直接从网上直接下载了一个 Python wheel 文件，你很天然地输入如下命令来安装它：

$ cd ~/Downloads
$ python -m pip install ./totally-legit-package.whl

这彷佛是一件很合理的事情

但你不知道的是，这么操做颇有可能访问带有 XSS JavaScript 的站点，并将带有恶意软件的的pip.py到下载文件夹中

下面是一个恶意攻击软件的演示实例：

~$ mkdir attacker_dir
~$ cd attacker_dir

$ echo 'print("lol ur pwnt")' > pip.py
$ python -m pip install requests
lol ur pwnt

看到了吗？这段代码生成了一个 pip.py，而且代替系统的 pip 接管了程序

设置$PYTHONPATH也不安全

前面已经说过，Python 只会调用系统路径、virtualenv 虚拟环境路径以及当前主程序路径

你也许会说，那我手动设置一下 $PYTHONPATH 环境变量，不把当前目录放在环境变量里，这样不就安全了吗？

非也！不幸的是，你可能会遭遇另外一种攻击方式。下面让咱们模拟一个“脆弱的” Python 程序：

# tool.py
try:
      import optional_extra
except ImportError:
      print("extra not found, that's fine")

而后建立 2 个目录：install_dir和attacker_dir。将上面的程序放在 install_dir 中

而后 cd attacker_dir 将复杂的恶意软件放在这里，并把它的名字改为 tool.py 调用的 optional_extra 模块：

# optional_extra.py
print("lol ur pwnt")

咱们运行一下它：

$ cd ~/attacker_dir
$ python ../install_dir/tool.py
extra not found, that's fine

到这里还很好，没有出现任何问题

可是这个习惯用法有一个严重的缺陷：第一次调用它时，若是 $PYTHONPATH 之前是空的或者未设置，那么它会包含一个空字符串，该字符串被解析为当前目录

让咱们再尝试一下：

~/attacker_dir$ export PYTHONPATH="/a/perfectly/safe/place:$PYTHONPATH";
~/attacker_dir$ python ../install_dir/tool.py
lol ur pwnt

看到了吗？恶意脚本接管了程序

为了安全起见，你可能会认为，清空 $PYTHONPATH总该没问题了吧？Naive！仍是不安全！

~/attacker_dir$ export PYTHONPATH="";
~/attacker_dir$ python ../install_dir/tool.py
lol ur pwnt

这里发生的事情是，$PYTHONPATH变成空的了，这和 unset 是不同的

由于在Python里，os.environ.get(“PYTHONPATH”) == “”和 os.environ.get(“PYTHONPATH”) == None是不同的

若是要确保 $PYTHONPATH 已从 shell 中清除，则须要使用 unset 命令处理一遍，而后就正常了

设置PYTHONPATH曾经是设置 Python 开发环境的最经常使用方法。但你之后最好别再用它了，virtualenv 能够更好地知足开发者需求。若是你过去设置了一个PYTHONPATH曾经是设置Python开发环境的最常用方法。但你以后最好别再用它了，virtualenv可以更好地满足开发者需求。如果你过去设置了一个PYTHONPATH，如今是很好的机会，把它删除了吧

若是你确实须要在 shell 中使用 PYTHONPATH，请用如下方法：

export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_1"
export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_2"

在bash和zsh中，$PYTHONPATH 变量的值会变成：

$ echo "${PYTHONPATH}"
new_entry_1:new_entry_2

如此便保证了环境变量 $PYTHONPATH 中没有空格和多余的冒号。

若是你仍在使用 $PYTHONPATH，请确保始终使用绝对路径！

另外，在下载文件夹中直接运行 Jupyter Notebook 也是同样危险的，好比jupyter notebook ~/Downloads/anything.ipynb也有可能将恶意程序引入到代码中。

预防措施

最后总结一下要点。

1. 若是要在下载文件夹 ~/Downloads 中使用 Python 编写的工具，请养成良好习惯，使用pip所在路径 /path/to/venv/bin/pip，而不是输入/path/to/venv/bin/python -m pip
2. 避免将 ~/Downloads 做为当前工做目录，并在启动以前将要使用的任何软件移至更合适的位置
   

了解 Python 从何处获取执行代码很是重要，赋予其余人执行任意 Python 命令的能力等同于赋予他对你电脑的彻底控制权

在这里推荐下我本身的Python开发学习群:957324352，群里都是学Python开发的，若是你想学或者正在学习Python ，欢迎你加入，你们都是软件开发党，不按期分享干货（只有Python软件开发相关的），包括我本身整理的一份2020最新的Python进阶资料和高级开发教程，欢迎进阶中和进想深刻Python的小伙伴！