python 安全编码&代码审计
2015-07-31 14:16
766 查看
0x00 前言
现在一般的web开发框架安全已经做的挺好的了,比如大家常用的django,但是一些不规范的开发方式还是会导致一些常用的安全问题,下面就针对这些常用问题做一些总结。代码审计准备部分见《php代码审计》,这篇文档主要讲述各种常用错误场景,基本上都是咱们自己的开发人员犯的错误,敏感信息已经去除。
0x01 XSS
未对输入和输出做过滤,场景:
0x02 CSRF
对系统中一些重要的操作要做CSRF防护,比如登录,关机,扫描等。django 提供CSRF中间件django.middleware.csrf.CsrfViewMiddleware,写入到settings.py的中间件即可。另外再在函数前加上@csrf_exempt修饰器。
0x03 命令注入
审计代码过程中发现了一些编写代码的不好的习惯,体现最严重的就是在命令注入方面,本来python自身的一些函数库就能完成的功能,偏偏要调用os.system来通过shell 命令执行来完成,老实说最烦这种写代码的啦。下面举个简单的例子:
fullname是用户可控的。正确的做法是不使用
os.system接口,改成python自有的库函数,这样就能避免命令注入。python的三种删除文件方式:
(1)shutil.rmtree 删除一个文件夹及所有文件 (2)os.rmdir 删除一个空目录 (3)os.remove,unlink 删除一个文件
使用了上述接口之后还得注意不能穿越目录,不然整个系统都有可能被删除了。常见的存在命令执行风险的函数如下:
0x04 sql注入
如果是使用django的api去操作数据库就应该不会有sql注入了,但是因为一些其他原因使用了拼接sql,就会有sql注入风险。下面贴一个有注入风险的例子:ModelInstance.objects.raw(sql,[]),或者
connection.objects.execute(sql,[]),通过列表传进去的参数是没有注入风险的,因为django会有处理。
0x05 代码执行
一般是由于eval和pickle.loads的滥用造成的,特别是eval,大家都没有意识到这方面的问题。下面举个代码中的例子:
0x06 文件操作
文件操作主要包含任意文件下载,删除,写入,覆盖等,如果能达到写入的目的时基本上就能写一个webshell了。下面举个任意文件下载的例子:
0x07 文件上传
1 任意文件上传
这里主要是未限制文件大小,可能导致ddos,未限制文件后缀,导致任意文件上传,未给文件重命名,可能导致目录穿越,文件覆盖等问题。
2 xml,excel等上传
在我们的产品中经常用到xml来保存一些配置文件,同时也支持xml文件的导出导入,这样在libxml2.9以下就可能导致xxe漏洞。就拿lxml来说吧:resolve_entities=True,no_network=True,其中
resolve_entities=True会导致解析实体,
no_network会为True就导致了该利用条件比较有效,会导致一些ssrf问题,不能将数据带出。在python中
xml.dom.minidom,xml.etree.ElementTree不受影响
0x08 不安全的封装
1 eval 封装不彻底
仅仅是将__builtings__置为空,如下方式即可绕过
2 执行命令接口封装不彻底
在底层封装函数没有过滤shell元字符,仅仅是限定一些命令,但是其参数未做控制.
0x0a 总结
一切输入都是不可靠的,做好严格过滤。
相关文章推荐
- python threading模块2
- python 列表生成式
- python for android apk
- python 循环
- python tab 自动补全 脚本
- python 高级特性
- python 函数的参数
- PHP中调用python程序
- python os.path模块常用方法详解
- 基础知识:python模块的导入
- 关于python的编码
- 安装python的MySQLdb模块
- python os.path
- 【Python】删除数组多个元素所产生的问题
- python学习小技巧分享(持续更新)
- TDD in Expert Python Programmin
- django 模板(template)中操作 python tuple
- 【python】 [基础] 数据类型,字符串和编码
- Python 金融数据分析库及相关框架
- [Python]抓取豆瓣电影列表的标题