ah!其實沒有標題說的那麼嚴重!
不過下面可是我們開發產品初期的一些血淋淋的案例,更多的安全威脅可以看看北北同學的《python hack》ppt,裡面提及了不只命令執行的威脅,那些都是我們親身經歷的**。
千萬要記得執行命令的時候,不要信任其他傳入資料就行了,既然意識到問題,那麼修復方法是多種多樣的。
在我們的系統中,多處出現問題然後修修補補是不靠譜的,那麼我們需要乙個通用的安全執行介面,這個介面過後更新進來。
此外,我們在開發新功能的時候,也要掌握安全程式設計的規範技巧,這些技巧不侷限在命令執行安全。
總結了一下,就是一下幾點要素啦:
•命令執行的字串不要去拼接輸入的引數,非要拼接的話,要對輸入引數進行白名單過濾
•對傳入的引數一定要做型別校驗,例如知道是數字型的,就int測試一下,會安全許多
•對於拼接串,也要嚴格一些,例如int型別引數的拼接,對於引數要用%d,不要%s。
•使用subprocess來傳入多個引數,就可以防止命令列注入
拿我們曾經的**(當時是最新版=,=時過境遷了)存在的bug來做教程:
示例1(變數沒過濾):
a.py
site變數其實是個url格式的串,未經過濾。由於老版本中site格式沒有出現問題,新版本支援url格式,就可以傳入各種符號了。
複製** **如下:
cmd = 'python /a.py --task_id=%s --site=%s -b' % (taski, site)
示例2(不牢靠的過濾):
util/update.py
downloadfile函式儘管對filename使用了過濾,但繞過的方法很多。
linux下面的命令分隔方法非常多,黑名單法是不牢靠的。
複製** **如下:
filename = downloadinfo[0]
filename = filename.replace(';','').replace('&','') #過濾檔名
localmd5 = os.popen('md5sum %s%s' %(path,filename)).read()
修復的方法就是對filename進行白名單格式檢查,比如,只允許出現字元數字以及.。
示例3(不安全的格式化字串):
b.py
target是個url格式的串,未經過濾。並且還有潛在威脅,deep使用了%s,其實它必須是個int,使用%d才對,假如以後有機會感染deep變數,那就xxoo了。
複製** **如下:
cmd = 'python b.py --task_id "%s" -s %s --deep %s --check_level %s -b' %(taski,target,deep,check_level)
示例4(無法利用的命令注入):
c.py
site_report函式,tid引數未經格式化,目前無法利用是因為有乙個查詢資料庫的語句:
get_object_or_404(task, get_domain_query(request), id=tid)#這裡會讓帶了特殊符號的tid查不到記錄,所以變為404,暫時保護了位於下文的cmd拼接。
一旦該語句變更,就會導致新的命令注入漏洞
cmd = 'sh /opt/report %s >/tmp/export_report.log 2>&1' % tid
模板注入 python
在學習ssti之前,先把flask的運作流程搞明白。這樣有利用更快速的理解原理。先看一段 from flask importflask defhello word return hello word route裝飾器的作用是將函式與url繫結起來。例子中的 的作用就是當你訪問的時候,flask會返回...
Python模板注入
近期遇到python模板注入問題,故在此整理,便於後期回顧。首先什麼是 python模板 呢?python有很多模板引擎可以幫助我們構建完善的web應用程式。這裡將要討論的就是jinja2 而 模板注入 就是在模板中注入特定的 這裡的模板可能是檔案,也可能是字串。在jinja2中,使用執行for迴圈...
python注入攻擊 mySql 注入攻擊
注入攻擊 1.原理 a.只要是帶有引數的動態網頁且此網頁訪問了資料庫,那麼就有可能存在sql注入 b.字串拼接和沒有判斷使用者輸入是否合法 導致使用者可以玩填字遊戲 sql注入攻擊會導致的資料庫安全風險包括 刷庫 拖庫 撞庫。2.簡單解決方法 預防字串拼接 可以使用變數繫結避免注入攻擊.以查詢語句為...