Python安全编码与代码审计是怎样的

这篇文章给大家介绍Python安全编码与代码审计是怎样的，内容非常详细，感兴趣的小伙伴们可以参考借鉴，希望对大家能有所帮助。1 前言现在一般的web开发框架安全已经做的挺好的了，比如大家常用的django，但是一些不规范的开发方式还是会导致一些常用的安全问题，下面就针对这些常用问题做一些总结。代码审计准备部分见《php代码审计》，这篇文档主要讲述各种常用错误场景，基本上都是咱们自己的开发人员犯的错误，敏感信息已经去除。2 XSS未对输入和输出做过滤，场景：在代码中一搜，发现有大量地方使用，比较正确的使用方式如下：return render_to_response(‘hello.html’, {‘name’:name})更好的就是对输入做限制，比如说一个正则范围，输出使用正确的api或者做好过滤。3 CSRF对系统中一些重要的操作要做CSRF防护，比如登录，关机，扫描等。django 提供CSRF中间件django.middleware.csrf.CsrfViewMiddleware,写入到settings.py的中间件即可。另外再在函数前加上@csrf_exempt修饰器。4 命令注入审计代码过程中发现了一些编写代码的不好的习惯，体现最严重的就是在命令注入方面，本来python自身的一些函数库就能完成的功能，偏偏要调用os.system来通过shell 命令执行来完成，老实说最烦这种写代码的啦。下面举个简单的例子：很显然这段代码是存在问题的，因为fullname是用户可控的。正确的做法是不使用os.system接口，改成python自有的库函数，这样就能避免命令注入。python的三种删除文件方式：(1)shutil.rmtree 删除一个文件夹及所有文件(2)os.rmdir 删除一个空目录(3)os.remove，unlink 删除一个文件使用了上述接口之后还得注意不能穿越目录，不然整个系统都有可能被删除了。常见的存在命令执行风险的函数如下：os.system,os.popen,os.spaw*,os.exec*,os.open,os.popen*,commands.call,commands.getoutput,Popen*推荐使用subprocess模块，同时确保shell=True未设置，否则也是存在注入风险的。5 sql注入如果是使用django的api去操作数据库就应该不会有sql注入了，但是因为一些其他原因使用了拼接sql，就会有sql注入风险。下面贴一个有注入风险的例子：像这种sql拼接就有sql注入问题，正常情况下应该使用django的数据库api，如果实在有这方面的需求，可以按照如下方式写：直接拼接的是万万不可的，如果采用ModelInstance.objects.raw(sql,[]),或者connection.objects.execute(sql,[]) ,通过列表传进去的参数是没有注入风险的，因为django会有处理。6 代码执行一般是由于eval和pickle.loads的滥用造成的，特别是eval，大家都没有意识到这方面的问题。下面举个代码中的例子：这一段代码就是就是因为eval的参数不可控，导致任意代码执行，正确的做法就是literal.eval接口。再取个pickle.loads的例子：7 文件操作文件操作主要包含任意文件下载，删除，写入，覆盖等，如果能达到写入的目的时基本上就能写一个webshell了。下面举个任意文件下载的例子：这段代码就存在着任意.lic文件下载的问题，没有做好限制目录穿越，同理8 文件上传8.1 任意文件上传这里主要是未限制文件大小，可能导致ddos，未限制文件后缀，导致任意文件上传，未给文件重命名，可能导致目录穿越，文件覆盖等问题。8.2 xml，excel等上传在我们的产品中经常用到xml来保存一些配置文件，同时也支持xml文件的导出导入，这样在libxml2.9以下就可能导致xxe漏洞。就拿lxml来说吧：这是因为在lxml中默认采用的XMLParser导致的：关注其中两个关键参数，其中resolve_entities=True,no_network=True,其中resolve_entities=True会导致解析实体，no_network会为True就导致了该利用条件比较有效，会导致一些ssrf问题，不能将数据带出。在python中xml.dom.minidom,xml.etree.ElementTree不受影响9 不安全的封装9.1 eval 封装不彻底仅仅是将__builtings__置为空，如下方式即可绕过,可参见bug841799.2 执行命令接口封装不彻底在底层封装函数没有过滤shell元字符，仅仅是限定一些命令，但是其参数未做控制，可参见bug8601110 总结1、一切输入都是不可靠的，做好严格过滤。2、验证输入，避免注入，危险函数列表：evec(),eval(),os.system(),os.popen(),execfile(),input(),compile()3、访问控制4、认证管理和session管理，url中不要带认证信息或者用户信息，给敏感信息加密，python的ran免费云主机域名dom和whrandom不是足够强大，要获取强大的密码，得使用n=open(‘/dev/urandom’) data = n.read(128)5、xss6、错误处理7、不安全的存储，如base64编码密码8、ddos9、配置管理，session过期时间10、缓冲区溢出关于Python安全编码与代码审计是怎样的就分享到这里了，希望以上内容可以对大家有一定的帮助，可以学到更多知识。如果觉得文章不错，可以把它分享出去让更多的人看到。

相关推荐: 如何打造自己的PoC框架-Pocsuite3-框架篇

本节笔者将按照Pocsuite框架结构以及工程化实践，来实现一款自己的PoC框架。为了开一个好头，我们先取一个好听的名字，想威武霸气一些可以取上古神器之类的，诸如轩辕夏禹赤霄干将，若怀着对游戏的热爱也可以有山丘之王（Mountain King）剑圣（Blade…