Python 已经成为全球最受欢迎的编程语言之一。其简明易用的脚本语法,只需将一段程序放入.py 文件中,就能快速运行,极大地降低了编程门槛。
而且 Python 语言很容易上手模块管理。比如你编写了一个模块 my_lib.py,只需在调用这个模块的程序中加入一行 import my_lib 即可。这种设计的好处是,初学者能够非常方便地执行命令和测试代码。但是对攻击者来说,这等于是为恶意程序大开后门。
尤其是一些初学者将网上的 Python 软件包、代码下载到本地 ~/Downloads 文件夹后,就直接在此路径下运行 python 命令,这样做会给电脑带来极大的安全隐患。本文旨在深入剖析这些风险背后的技术原理,并提供一套完整的加固方案。
为什么这样做会有危险?
首先,我们要了解 Python 程序安全运行需要满足的三个核心条件:
- 系统路径上的每个条目都处于安全的位置;
- '主脚本'所在的目录始终位于系统路径中;
- 若 python 命令使用-c 和-m 选项,调用程序的目录也必须是安全的。
如果你运行的是正确安装的 Python,那么 Python 安装目录和 virtualenv 之外唯一会自动添加到系统路径的位置,就是当前主程序的安装目录。这就是安全隐患的主要来源。
下面用一个实例告诉你为什么。
如果你把 pip 安装在/usr/bin 文件夹下,并运行 pip 命令。由于/usr/bin 是系统路径,因此这是一个非常安全的地方。但是,有些人并不喜欢直接使用 pip,而是更喜欢调用/path/to/python -m pip。这样做的好处是可以避免环境变量$PATH 设置的复杂性,而且对于 Windows 用户来说,也可以避免处理安装各种 exe 脚本和文档。
所以问题就来了,如果你的下载文件中有一个叫做 pip.py 的文件,那么你将它将取代系统自带的 pip,接管你的程序。
下载文件夹并不安全
比如你不是从 PyPI,而是直接从网上直接下载了一个 Python wheel 文件。你很自然地输入以下命令来安装它:
~$ cd Downloads
~/Downloads$ python -m pip install ./totally-legit-package.whl
这似乎是一件很合理的事情。但你不知道的是,这么操作很有可能访问带有 XSS JavaScript 的站点,并将带有恶意软件的 pip.py 到下载文件夹中。
下面是一个恶意攻击软件的演示实例:
~$ mkdir attacker_dir
~$ cd attacker_dir
~/attacker_dir$ echo 'print("lol ur pwnt")' > pip.py
~/attacker_dir$ python -m pip install requests
lol ur pwnt
看到了吗?这段代码生成了一个 pip.py,并且代替系统的 pip 接管了程序。当你在该目录下运行任何涉及 pip 的操作时,恶意脚本都会优先被执行。
设置$PYTHONPATH 也不安全
前面已经说过,Python 只会调用系统路径、virtualenv 虚拟环境路径以及当前主程序路径。
你也许会说,那我手动设置一下 $PYTHONPATH 环境变量,不把当前目录放在环境变量里,这样不就安全了吗?
非也!不幸的是,你可能会遭遇另一种攻击方式。下面让我们模拟一个'脆弱的'Python 程序:
# tool.py
try:
import optional_extra
except ImportError:
print("extra not found, that's fine")
然后创建 2 个目录:install_dir 和 attacker_dir。将上面的程序放在 install_dir 中。然后 cd attacker_dir 将复杂的恶意软件放在这里,并把它的名字改成 tool.py 调用的 optional_extra 模块:
()
