python 安全编码&代码审计
0x00 前言
现在一般的web开发框架安全已经做的挺好的了,比如大家常用的django,但是一些不规范的开发方式还是会导致一些常用的安全问题,下面就针对这些常用问题做一些总结。代码审计准备部分见《php代码审计》,这篇文档主要讲述各种常用错误场景,基本上都是咱们自己的开发人员犯的错误,敏感信息已经去除。
0x01 XSS
未对输入和输出做过滤,场景:
|
1
2
3
|
def
xss_test(request):
name
=
request.GET[
'name'
]
return
HttpResponse(
'hello %s'
%
(name))
|
在代码中一搜,发现有大量地方使用,比较正确的使用方式如下:
|
1
2
3
4
|
def
xss_test(request):
name
=
request.GET[
'name'
]
#return HttpResponse('hello %s' %(name))
return
render_to_response(
'hello.html'
, {
'name'
:name})
|
更好的就是对输入做限制,比如说一个正则范围,输出使用正确的api或者做好过滤。
0x02 CSRF
对系统中一些重要的操作要做CSRF防护,比如登录,关机,扫描等。django 提供CSRF中间件django.middleware.csrf.CsrfViewMiddleware,写入到settings.py的中间件即可。另外再在函数前加上@csrf_exempt修饰器。
0x03 命令注入
审计代码过程中发现了一些编写代码的不好的习惯,体现最严重的就是在命令注入方面,本来python自身的一些函数库就能完成的功能,偏偏要调用os.system来通过shell 命令执行来完成,老实说最烦这种写代码的啦。下面举个简单的例子:
|
1
2
3
4
5
6
|
def
myserve(request, filename, dirname):
re
=
serve(request
=
request,path
=
filename,document_root
=
dirname,show_indexes
=
True
)
filestr
=
'authExport.dat'
re[
'Content-Disposition'
]
=
'attachment; filename="'
+
urlquote(filestr)
+
'"'
fullname
=
os.path.join(dirname,filename)
os.system(
'sudo rm -f %s'
%
fullname)
return
re
|
很显然这段代码是存在问题的,因为fullname是用户可控的。正确的做法是不使用os.system接口,改成python自有的库函数,这样就能避免命令注入。python的三种删除文件方式:
(1)shutil.rmtree 删除一个文件夹及所有文件 (2)os.rmdir 删除一个空目录 (3)os.remove,unlink 删除一个文件
使用了上述接口之后还得注意不能穿越目录,不然整个系统都有可能被删除了。常见的存在命令执行风险的函数如下:
|
1
|
os.system,os.popen,os.spaw
*
,os.
exec
*
,os.
open
,os.popen
*
,commands.call,commands.getoutput,Popen
*
|
推荐使用subprocess模块,同时确保shell=True未设置,否则也是存在注入风险的。
0x04 sql注入
如果是使用django的api去操作数据库就应该不会有sql注入了,但是因为一些其他原因使用了拼接sql,就会有sql注入风险。下面贴一个有注入风险的例子:
|
1
2
3
4
5
6
7
8
9
10
11
|
def
getUsers(user_id
=
None
):
conn
=
psycopg2.connect(
"dbname='××' user='××' host='' password=''"
)
cur
=
conn.cursor(cursor_factory
=
psycopg2.extras.DictCursor)
if
user_id
=
=
None
:
str
=
'select distinct * from auth_user'
else
:
str
=
'select distinct * from auth_user where id=%d'
%
user_id
res
=
cur.execute(
str
)
res
=
cur.fetchall()
conn.close()
return
res
|
像这种sql拼接就有sql注入问题,正常情况下应该使用django的数据库api,如果实在有这方面的需求,可以按照如下方式写:
|
1
2
3
4
5
6
7
8
|
def
user_contacts(request):
user
=
request.GET[
'username'
]
sql
=
"SELECT * FROM user_contacts WHERE username = %s"
cursor
=
connection.cursor()
cursor.execute(sql, [user])
# do something with the results
results
=
cursor.fetchone()
#or results = cursor.fetchall()
cursor.close()
|
直接拼接的是万万不可的,如果采用ModelInstance.objects.raw(sql,[]),或者connection.objects.execute(sql,[]) ,通过列表传进去的参数是没有注入风险的,因为django会有处理。
0x05 代码执行
一般是由于eval和pickle.loads的滥用造成的,特别是eval,大家都没有意识到这方面的问题。下面举个代码中的例子:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
@login_required
@permission_required
(
"accounts.newTask_assess"
)
def
targetLogin(request):
req
=
simplejson.loads(request.POST[
'loginarray'
])
req
=
unicode
(req).encode(
"utf-8"
)
loginarray
=
eval
(req)
ip
=
_e(request,
'ipList'
)
#targets=base64.b64decode(targets)
(iplist1,iplist2)
=
getIPTwoList(ip)
iplist1
=
list
(
set
(iplist1))
iplist2
=
list
(
set
(iplist2))
loginlist
=
[]
delobjs
=
[]
holdobjs
=
[]
|
这一段代码就是就是因为eval的参数不可控,导致任意代码执行,正确的做法就是literal.eval接口。再取个pickle.loads的例子:
|
1
2
3
4
|
>>>
import
cPickle
>>> cPickle.loads(
"cos\nsystem\n(S'uname -a'\ntR."
)
Linux RCM
-
RSAS
-
V6
-
Dev
3.9
.
0
-
aurora
#4 SMP PREEMPT Fri Jun 7 14:50:52 CST 2013 i686 Intel(R) Core(TM) i7-2600 CPU @ 3.40GHz GenuineIntel GNU/Linux
0
|
0x06 文件操作
文件操作主要包含任意文件下载,删除,写入,覆盖等,如果能达到写入的目的时基本上就能写一个webshell了。下面举个任意文件下载的例子:
|
1
2
3
4
5
6
7
8
9
|
@login_required
@permission_required
(
"accounts.newTask_assess"
)
def
exportLoginCheck(request,filename):
if
re.match(r“
*
.lic”,filename):
fullname
=
filename
else
:
fullname
=
"/tmp/test.lic"
print
fullname
return
HttpResponse(fullname)
|
这段代码就存在着任意.lic文件下载的问题,没有做好限制目录穿越,同理
0x07 文件上传
1 任意文件上传
这里主要是未限制文件大小,可能导致ddos,未限制文件后缀,导致任意文件上传,未给文件重命名,可能导致目录穿越,文件覆盖等问题。
2 xml,excel等上传
在我们的产品中经常用到xml来保存一些配置文件,同时也支持xml文件的导出导入,这样在libxml2.9以下就可能导致xxe漏洞。就拿lxml来说吧:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
root@kali:~
/python
# cat test.xml
<?xml version=
"1.0"
encoding=
"utf-8"
?>
<!DOCTYPE xdsec [ <!ENTITY xxe SYSTEM
"file:///etc/passwd"
>
]>
<root>
<node
id
=
"11"
name=
"bb"
net=
"192.168.0.2-192.168.0.37"
ltd=
""
gid=
""
/>
test
&xxe;<
/root
>
>>> from lxml
import
etree
>>> tree1 = etree.parse(
'test.xml'
)
>>> print etree.tostring(tree1.getroot())
<root>
<node
id
=
"11"
name=
"bb"
net=
"192.168.0.2-192.168.0.37"
ltd=
""
gid=
""
/>testroot:x:0:0:root:
/root
:
/bin/bash
daemon:x:1:1:daemon:
/usr/sbin
:
/bin/sh
bin:x:2:2:bin:
/bin
:
/bin/sh
sys:x:3:3:sys:
/dev
:
/bin/sh
sync
:x:4:65534:
sync
:
/bin
:
/bin/sync
games:x:5:60:games:
/usr/games
:
/bin/sh
man
:x:6:12:
man
:
/var/cache/man
:
/bin/sh
|
这是因为在lxml中默认采用的XMLParser导致的:
|
1
2
|
class
XMLParser(_FeedParser)
| XMLParser(
self
, encoding
=
None
, attribute_defaults
=
False
, dtd_validation
=
False
, load_dtd
=
False
, no_network
=
True
, ns_clean
=
False
, recover
=
False
, XMLSchema schema
=
None
, remove_blank_text
=
False
, resolve_entities
=
True
, remove_comments
=
False
, remove_pis
=
False
, strip_cdata
=
True
, target
=
None
, compact
=
True
)
|
关注其中两个关键参数,其中resolve_entities=True,no_network=True,其中resolve_entities=True会导致解析实体,no_network会为True就导致了该利用条件比较有效,会导致一些ssrf问题,不能将数据带出。在python中xml.dom.minidom,xml.etree.ElementTree不受影响
0x08 不安全的封装
1 eval 封装不彻底
仅仅是将__builtings__置为空,如下方式即可绕过
|
1
2
3
4
5
6
7
8
9
|
>>> s2
=
"""
... [x for x in ().__class__.__bases__[0].__subclasses__()
... if x.__name__ == "zipimporter"][0](
... "/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module(
... "configobj").os.system("uname")
... """
>>>
eval
(s2,{
'__builtins__'
:{}})
Linux
0
|
2 执行命令接口封装不彻底
在底层封装函数没有过滤shell元字符,仅仅是限定一些命令,但是其参数未做控制.
0x0a 总结
一切输入都是不可靠的,做好严格过滤。