python 安全编码&代码审计

author:xxlegend

0x00 前言

现在一般的web开发框架安全已经做的挺好的了,比如大家常用的django,但是一些不规范的开发方式还是会导致一些常用的安全问题,下面就针对这些常用问题做一些总结。代码审计准备部分见《php代码审计》,这篇文档主要讲述各种常用错误场景,基本上都是咱们自己的开发人员犯的错误,敏感信息已经去除。

0x01 XSS

未对输入和输出做过滤,场景:

在代码中一搜,发现有大量地方使用,比较正确的使用方式如下:

更好的就是对输入做限制,比如说一个正则范围,输出使用正确的api或者做好过滤。

0x02 CSRF

对系统中一些重要的操作要做CSRF防护,比如登录,关机,扫描等。django 提供CSRF中间件django.middleware.csrf.CsrfViewMiddleware,写入到settings.py的中间件即可。另外再在函数前加[email protected]_exempt修饰器。

0x03 命令注入

审计代码过程中发现了一些编写代码的不好的习惯,体现最严重的就是在命令注入方面,本来python自身的一些函数库就能完成的功能,偏偏要调用os.system来通过shell 命令执行来完成,老实说最烦这种写代码的啦。下面举个简单的例子:

很显然这段代码是存在问题的,因为fullname是用户可控的。正确的做法是不使用os.system接口,改成python自有的库函数,这样就能避免命令注入。python的三种删除文件方式:

使用了上述接口之后还得注意不能穿越目录,不然整个系统都有可能被删除了。常见的存在命令执行风险的函数如下:

推荐使用subprocess模块,同时确保shell=True未设置,否则也是存在注入风险的。

0x04 sql注入

如果是使用django的api去操作数据库就应该不会有sql注入了,但是因为一些其他原因使用了拼接sql,就会有sql注入风险。下面贴一个有注入风险的例子:

像这种sql拼接就有sql注入问题,正常情况下应该使用django的数据库api,如果实在有这方面的需求,可以按照如下方式写:

直接拼接的是万万不可的,如果采用ModelInstance.objects.raw(sql,[]),或者connection.objects.execute(sql,[]) ,通过列表传进去的参数是没有注入风险的,因为django会有处理。

0x05 代码执行

一般是由于eval和pickle.loads的滥用造成的,特别是eval,大家都没有意识到这方面的问题。下面举个代码中的例子:

这一段代码就是就是因为eval的参数不可控,导致任意代码执行,正确的做法就是literal.eval接口。再取个pickle.loads的例子:

0x06 文件操作

文件操作主要包含任意文件下载,删除,写入,覆盖等,如果能达到写入的目的时基本上就能写一个webshell了。下面举个任意文件下载的例子:

这段代码就存在着任意.lic文件下载的问题,没有做好限制目录穿越,同理

0x07 文件上传

1 任意文件上传

这里主要是未限制文件大小,可能导致ddos,未限制文件后缀,导致任意文件上传,未给文件重命名,可能导致目录穿越,文件覆盖等问题。

2 xml,excel等上传

在我们的产品中经常用到xml来保存一些配置文件,同时也支持xml文件的导出导入,这样在libxml2.9以下就可能导致xxe漏洞。就拿lxml来说吧:

这是因为在lxml中默认采用的XMLParser导致的:

关注其中两个关键参数,其中resolve_entities=True,no_network=True,其中resolve_entities=True会导致解析实体,no_network会为True就导致了该利用条件比较有效,会导致一些ssrf问题,不能将数据带出。在python中xml.dom.minidom,xml.etree.ElementTree不受影响

0x08 不安全的封装

1 eval 封装不彻底

仅仅是将__builtings__置为空,如下方式即可绕过

2 执行命令接口封装不彻底

在底层封装函数没有过滤shell元字符,仅仅是限定一些命令,但是其参数未做控制.

0x0a 总结

一切输入都是不可靠的,做好严格过滤。

评论

xxlegend2015-08-05 17:53:50

@隐形人真忙
$python
Python 2.7.3 (default, May 13 2013, 20:04:56)
[GCC 4.4.5] on linux2
Type "help", "copyright", "credits" or "license" for more information.
这个版本确认是可以测试成功的

隐形人真忙2015-08-05 15:43:24

@xxlegend 2.7.8测试失败

xxlegend2015-08-05 13:16:15

@隐形人真忙 具体的原理可参照我在freebuf发表的文章:http://www.freebuf.com/articles/web/73658.html,也有可能和你的python版本有关系,我实验是在python2.7上

隐形人真忙2015-08-04 15:40:15

你给出的代码,绕过builtins = None失败啊。
RuntimeError: cannot unmarshal code objects in restricted execution mode。

xxlegend2015-07-31 13:21:44

@php代码审计 不是指你了,一个未公开的文档

DloveJ2015-07-30 23:41:58

感谢分享!!