python 安全編碼&程式碼審計
0x00 前言
現在一般的web開發框架安全已經做的挺好的了,比如大家常用的django,但是一些不規範的開發方式還是會導致一些常用的安全問題,下面就針對這些常用問題做一些總結。程式碼審計準備部分見《php程式碼審計》,這篇文件主要講述各種常用錯誤場景,基本上都是我們們自己的開發人員犯的錯誤,敏感資訊已經去除。
0x01 XSS
未對輸入和輸出做過濾,場景:
#!python
def xss_test(request):
name = request.GET['name']
return HttpResponse('hello %s' %(name))
在程式碼中一搜,發現有大量地方使用,比較正確的使用方式如下:
#!python
def xss_test(request):
name = request.GET['name']
#return HttpResponse('hello %s' %(name))
return render_to_response('hello.html', {'name':name})
更好的就是對輸入做限制,比如說一個正則範圍,輸出使用正確的api或者做好過濾。
0x02 CSRF
對系統中一些重要的操作要做CSRF防護,比如登入,關機,掃描等。django 提供CSRF中介軟體django.middleware.csrf.CsrfViewMiddleware
,寫入到settings.py的中介軟體即可。另外再在函式前加[email protected]_exempt修飾器。
0x03 命令注入
審計程式碼過程中發現了一些編寫程式碼的不好的習慣,體現最嚴重的就是在命令注入方面,本來python自身的一些函式庫就能完成的功能,偏偏要呼叫os.system
來透過shell 命令執行來完成,老實說最煩這種寫程式碼的啦。下面舉個簡單的例子:
#!python
def myserve(request, filename, dirname):
re = serve(request=request,path=filename,document_root=dirname,show_indexes=True)
filestr='authExport.dat'
re['Content-Disposition'] = 'attachment; filename="' + urlquote(filestr) +'"'fullname=os.path.join(dirname,filename)
os.system('sudo rm -f %s'%fullname)
return re
很顯然這段程式碼是存在問題的,因為fullname
是使用者可控的。正確的做法是不使用os.system
介面,改成python自有的庫函式,這樣就能避免命令注入。python的三種刪除檔案方式:
(1)shutil.rmtree 刪除一個資料夾及所有檔案
(2)os.rmdir 刪除一個空目錄
(3)os.remove,unlink 刪除一個檔案
使用了上述介面之後還得注意不能穿越目錄,不然整個系統都有可能被刪除了。常見的存在命令執行風險的函式如下:
#!python
os.system,os.popen,os.spaw*,os.exec*,os.open,os.popen*,commands.call,commands.getoutput,Popen*
推薦使用subprocess模組,同時確保shell=True未設定,否則也是存在注入風險的。
0x04 sql注入
如果是使用django的api去運算元據庫就應該不會有sql注入了,但是因為一些其他原因使用了拼接sql,就會有sql注入風險。下面貼一個有注入風險的例子:
#!python
def getUsers(user_id=None):
conn = psycopg2.connect("dbname='××' user='××' host='' password=''")
cur = conn.cursor(cursor_factory=psycopg2.extras.DictCursor)
if user_id==None:
str = 'select distinct * from auth_user'
else:
str='select distinct * from auth_user where id=%d'%user_id
res = cur.execute(str)
res = cur.fetchall()
conn.close()
return res
像這種sql拼接就有sql注入問題,正常情況下應該使用django的資料庫api,如果實在有這方面的需求,可以按照如下方式寫:
#!python
def user_contacts(request):
user = request.GET['username']
sql = "SELECT * FROM user_contacts WHERE username = %s"
cursor = connection.cursor()
cursor.execute(sql, [user])
# do something with the results
results = cursor.fetchone() #or results = cursor.fetchall()
cursor.close()
直接拼接的是萬萬不可的,如果採用ModelInstance.objects.raw(sql,[])
,或者connection.objects.execute(sql,[])
,透過列表傳進去的引數是沒有注入風險的,因為django會有處理。
0x05 程式碼執行
一般是由於eval和pickle.loads的濫用造成的,特別是eval,大家都沒有意識到這方面的問題。下面舉個程式碼中的例子:
#!python
@login_required
@permission_required("accounts.newTask_assess")
def targetLogin(request):
req = simplejson.loads(request.POST['loginarray'])
req=unicode(req).encode("utf-8")
loginarray=eval(req)
ip=_e(request,'ipList')
#targets=base64.b64decode(targets)
(iplist1,iplist2)=getIPTwoList(ip)
iplist1=list(set(iplist1))
iplist2=list(set(iplist2))
loginlist=[]
delobjs=[]
holdobjs=[]
這一段程式碼就是就是因為eval的引數不可控,導致任意程式碼執行,正確的做法就是literal.eval介面。再取個pickle.loads的例子:
#!python
>>> import cPickle
>>> cPickle.loads("cos\nsystem\n(S'uname -a'\ntR.")
Linux RCM-RSAS-V6-Dev 3.9.0-aurora #4 SMP PREEMPT Fri Jun 7 14:50:52 CST 2013 i686 Intel(R) Core(TM) i7-2600 CPU @ 3.40GHz GenuineIntel GNU/Linux
0
0x06 檔案操作
檔案操作主要包含任意檔案下載,刪除,寫入,覆蓋等,如果能達到寫入的目的時基本上就能寫一個webshell了。下面舉個任意檔案下載的例子:
#!python
@login_required
@permission_required("accounts.newTask_assess")
def exportLoginCheck(request,filename):
if re.match(r“*.lic”,filename):
fullname = filename
else:
fullname = "/tmp/test.lic"
print fullname
return HttpResponse(fullname)
這段程式碼就存在著任意.lic檔案下載的問題,沒有做好限制目錄穿越,同理
0x07 檔案上傳
1 任意檔案上傳
這裡主要是未限制檔案大小,可能導致ddos,未限制檔案字尾,導致任意檔案上傳,未給檔案重新命名,可能導致目錄穿越,檔案覆蓋等問題。
2 xml,excel等上傳
在我們的產品中經常用到xml來儲存一些配置檔案,同時也支援xml檔案的匯出匯入,這樣在libxml2.9以下就可能導致xxe漏洞。就拿lxml來說吧:
#!shell
[email protected]:~/python# cat test.xml
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE xdsec [ <!ENTITY xxe SYSTEM "file:///etc/passwd" >
]>
<root>
<node id="11" name="bb" net="192.168.0.2-192.168.0.37" ltd="" gid="" />test&xxe;</root>
>>> from lxml import etree
>>> tree1 = etree.parse('test.xml')
>>> print etree.tostring(tree1.getroot())
<root>
<node id="11" name="bb" net="192.168.0.2-192.168.0.37" ltd="" gid=""/>testroot:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
這是因為在lxml中預設採用的XMLParser導致的:
#!python
class XMLParser(_FeedParser)
| XMLParser(self, encoding=None, attribute_defaults=False, dtd_validation=False, load_dtd=False, no_network=True, ns_clean=False, recover=False, XMLSchema schema=None, remove_blank_text=False, resolve_entities=True, remove_comments=False, remove_pis=False, strip_cdata=True, target=None, compact=True)
關注其中兩個關鍵引數,其中resolve_entities=True,no_network=True,
其中resolve_entities=True
會導致解析實體,no_network
會為True就導致了該利用條件比較有效,會導致一些ssrf問題,不能將資料帶出。在python中xml.dom.minidom,xml.etree.ElementTree
不受影響
0x08 不安全的封裝
1 eval 封裝不徹底
僅僅是將__builtings__
置為空,如下方式即可繞過
#!python
>>> s2="""
... [x for x in ().__class__.__bases__[0].__subclasses__()
... if x.__name__ == "zipimporter"][0](
... "/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module(
... "configobj").os.system("uname")
... """
>>> eval(s2,{'__builtins__':{}})
Linux
0
2 執行命令介面封裝不徹底
在底層封裝函式沒有過濾shell元字元,僅僅是限定一些命令,但是其引數未做控制.
0x0a 總結
一切輸入都是不可靠的,做好嚴格過濾。
相關文章
- Graudit程式碼安全審計2020-09-16
- 如何用 Python 手擼一個 GitLab 程式碼安全審計工具?2024-10-09PythonGitlab
- buu 程式碼審計2024-06-08
- JFinalcms程式碼審計2024-10-14
- CSCMS程式碼審計2022-06-19
- Python安全編碼指南2020-08-19Python
- 什麼是程式碼審計?程式碼審計有什麼好處?2024-01-30
- 程式碼審計————目錄2018-06-05
- 基於Python的自動化程式碼審計2018-04-11Python
- 程式碼審計是什麼?程式碼審計操作流程分為幾步?2023-03-28
- python程式碼檢查工具(靜態程式碼審查)2021-09-08Python
- 哪些業務場景需要做程式碼審計?程式碼審計很重要嗎?2022-01-05
- oasys系統程式碼審計2024-11-06
- 美國安全審計公司Certik完成Punk.Network的智慧合約程式碼審計2021-05-02
- 程式碼審計工具有哪些?網路安全課程學習2021-10-14
- 網站漏掃服務之程式碼審計安全學習2021-04-12網站
- Java程式碼審計入門篇2018-06-28Java
- 程式碼審計入門總結2020-08-19
- Hackthebox bagel.dll 程式碼審計2024-07-02
- [JavaWeb]Shiro漏洞集合——程式碼審計2022-01-24JavaWeb
- 為什麼要做程式碼審計?2021-12-29
- Java 程式碼審計 — 1. ClassLoader2021-11-27Java
- Java程式碼審計篇 - ofcms系統審計思路講解 - 篇2 - SQL隱碼攻擊漏洞審計2024-09-23JavaSQL
- 基於Java關鍵詞審計技巧?網路安全原始碼審計2020-12-18Java原始碼
- 網路安全裡面的程式碼審計難學嗎?如何學習?2022-02-12
- 網路安全程式碼審計是什麼?操作流程有哪些?2023-02-14
- 程式碼審計是什麼?網路安全實戰學習技能2021-03-19
- PHP程式碼審計——Day 5-postcard2024-04-04PHP
- PHP程式碼審計——Day2-Twig2024-04-02PHP
- MVC框架的程式碼審計小教程2020-10-29MVC框架
- 若依 RuoYi4.6.0 程式碼審計2024-10-24
- 程式碼審查:從 ArrayList 說執行緒安全2021-03-13執行緒
- python程式碼混淆與編譯2024-08-08Python編譯
- Java程式碼審計篇 - ofcms系統審計思路講解 - 篇4 - XXE漏洞審計2024-09-23Java
- [程式碼審計]php上傳漏洞總結2018-06-05PHP
- 米安程式碼審計 07 越權漏洞2018-07-24
- PHP程式碼審計——Day3-Snow Flake2024-04-04PHP
- 程式碼審計[一] [0CTF 2016]piapiapia2024-03-31API