0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

这样运行Python命令会给电脑带来极大的隐患

人工智能与大数据技术 来源:AI新媒体量子位 作者:AI新媒体量子位 2020-12-07 14:35 次阅读

Python已经成为全球最受欢迎的编程语言之一。原因当然是Python简明易用的脚本语法,只需把一段程序放入.py文件中,就能快速运行。

而且Python语言很容易上手模块。比如你编写了一个模块my_lib.py,只需在调用这个模块的程序中加入一行import my_lib即可。

这样设计的好处是,初学者能够非常方便地执行命令。但是对攻击者来说,这等于是为恶意程序大开后门。

尤其是一些初学者将网上的Python软件包、代码下载的到本地~/Downloads文件夹后,就直接在此路径下运行python命令,这样做会给电脑带来极大的隐患。

别再图方便了

为何这样做会有危险?首先,我们要了解Python程序安全运行需要满足的三个条件:

系统路径上的每个条目都处于安全的位置;

“主脚本”所在的目录始终位于系统路径中;

若python命令使用-c和-m选项,调用程序的目录也必须是安全的。

如果你运行的是正确安装的Python,那么Python安装目录和virtualenv之外唯一会自动添加到系统路径的位置,就是当前主程序的安装目录。

这就是安全隐患的来源,下面用一个实例告诉你为什么。

如果你把pip安装在/usr/bin文件夹下,并运行pip命令。由于/usr/bin是系统路径,因此这是一个非常安全的地方。

但是,有些人并不喜欢直接使用pip,而是更喜欢调用/path/to/python -m pip。

这样做的好处是可以避免环境变量$PATH设置的复杂性,而且对于Windows用户来说,也可以避免处理安装各种exe脚本和文档。

所以问题就来了,如果你的下载文件中有一个叫做pip.py的文件,那么你将它将取代系统自带的pip,接管你的程序。

下载文件夹并不安全

比如你不是从PyPI,而是直接从网上直接下载了一个Python wheel文件。你很自然地输入以下命令来安装它:

~$ cd Downloads ~/Downloads$ python -m pip install 。/totally-legit-package.whl

这似乎是一件很合理的事情。但你不知道的是,这么操作很有可能访问带有XSS JavaScript的站点,并将带有恶意软件的的pip.py到下载文件夹中。

下面是一个恶意攻击软件的演示实例:

~$ mkdir attacker_dir ~$ cd attacker_dir ~/attacker_dir$ echo ‘print(“lol ur pwnt”)’ 》 pip.py ~/attacker_dir$ python -m pip install requests lol ur pwnt

看到了吗?这段代码生成了一个pip.py,并且代替系统的pip接管了程序。

设置$PYTHONPATH也不安全

前面已经说过,Python只会调用系统路径、virtualenv虚拟环境路径以及当前主程序路径

你也许会说,那我手动设置一下 $PYTHONPATH 环境变量,不把当前目录放在环境变量里,这样不就安全了吗?

非也!不幸的是,你可能会遭遇另一种攻击方式。下面让我们模拟一个“脆弱的”Python程序:

# tool.py try: import optional_extra except ImportError: print(“extra not found, that‘s fine”)

然后创建2个目录:install_dir和attacker_dir。将上面的程序放在install_dir中。然后cd attacker_dir将复杂的恶意软件放在这里,并把它的名字改成tool.py调用的optional_extra模块:

# optional_extra.py print(“lol ur pwnt”)

我们运行一下它:

~/attacker_dir$ python 。./install_dir/tool.py extra not found, that’s fine

到这里还很好,没有出现任何问题。

但是这个习惯用法有一个严重的缺陷:第一次调用它时,如果$PYTHONPATH以前是空的或者未设置,那么它会包含一个空字符串,该字符串被解析为当前目录。

让我们再尝试一下:

~/attacker_dir$ export PYTHONPATH=“/a/perfectly/safe/place:$PYTHONPATH”; ~/attacker_dir$ python 。./install_dir/tool.py lol ur pwnt

看到了吗?恶意脚本接管了程序。

为了安全起见,你可能会认为,清空$PYTHONPATH总该没问题了吧?Naive!还是不安全!

~/attacker_dir$ export PYTHONPATH=“”; ~/attacker_dir$ python 。./install_dir/tool.py lol ur pwnt

这里发生的事情是,$PYTHONPATH变成空的了,这和unset是不一样的。

因为在Python里,os.environ.get(“PYTHONPATH”) == “”和os.environ.get(“PYTHONPATH”) == None是不一样的。

如果要确保$PYTHONPATH已从shell中清除,则需要使用unset命令处理一遍,然后就正常了。

设置$PYTHONPATH曾经是设置Python开发环境的最常用方法。但你以后最好别再用它了,virtualenv可以更好地满足开发者需求。如果你过去设置了一个$PYTHONPATH,现在是很好的机会,把它删除了吧。

如果你确实需要在shell中使用PYTHONPATH,请用以下方法:

export PYTHONPATH=“${PYTHONPATH:+${PYTHONPATH}:}new_entry_1” export PYTHONPATH=“${PYTHONPATH:+${PYTHONPATH}:}new_entry_2”

在bash和zsh中,$PYTHONPATH变量的值会变成:

$ echo “${PYTHONPATH}” new_entry_1:new_entry_2

如此便保证了环境变量$PYTHONPATH中没有空格和多余的冒号。

如果你仍在使用$PYTHONPATH,请确保始终使用绝对路径!

另外,在下载文件夹中直接运行Jupyter Notebook也是一样危险的,比如jupyter notebook ~/Downloads/anything.ipynb也有可能将恶意程序引入到代码中。

预防措施

最后总结一下要点。

如果要在下载文件夹~/Downloads中使用Python编写的工具,请养成良好习惯,使用pip所在路径/path/to/venv/bin/pip,而不是输入/path/to/venv/bin/python -m pip。

避免将~/Downloads作为当前工作目录,并在启动之前将要使用的任何软件移至更合适的位置。

了解Python从何处获取执行代码非常重要。赋予其他人执行任意Python命令的能力等同于赋予他对你电脑的完全控制权!

希望以上文字对初学Python的你有所帮助。

原文标题:别这样直接运行Python命令,否则电脑等于“裸奔”

文章出处:【微信公众号:人工智能与大数据技术】欢迎添加关注!文章转载请注明出处。

责任编辑:haq

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 编程
    +关注

    关注

    88

    文章

    3576

    浏览量

    93545
  • python
    +关注

    关注

    55

    文章

    4776

    浏览量

    84393

原文标题:别这样直接运行Python命令,否则电脑等于“裸奔”

文章出处:【微信号:TheBigData1024,微信公众号:人工智能与大数据技术】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    请问晶振会不会给信号线IA带来干扰?

    不知道这样,晶振会不会给信号线IA带来干扰?
    发表于 05-13 07:53

    python运行环境的安装和配置

    Python是一种非常流行的编程语言,广泛应用于科学计算、Web开发、人工智能等领域。为了能够正常运行Python程序,我们需要先安装和配置Python
    的头像 发表于 11-29 16:17 1090次阅读

    Python运行环境有哪些

    Python是一种广泛使用的高级编程语言,它有许多种运行环境,可以适应不同的开发需求。下面将详细介绍Python的几种常见的运行环境。 CPython: CPython是
    的头像 发表于 11-29 16:14 1888次阅读

    python软件对电脑配置要求

    Python软件的电脑配置要求,并提供一些建议来确保您的电脑能够高效地运行Python程序。 首先,让我们看一下
    的头像 发表于 11-29 14:58 9690次阅读

    python调用windows命令

    Python是一种强大的编程语言,可以用于开发各种不同类型的应用程序。其中一个常见的用途是使用Python调用Windows命令来执行特定的任务。在本文中,我们将详细讨论如何使用Python
    的头像 发表于 11-29 14:34 969次阅读

    python软件怎么运行代码

    Python是一种高级编程语言,它被广泛用于开发各种类型的应用程序,从简单的脚本到复杂的网络应用和机器学习模型。要运行Python代码,您需要一个Python解释器,它可以将您的代码翻
    的头像 发表于 11-28 16:02 846次阅读

    运行Python程序的几种常见方法

    方法: 使用Python解释器 Python解释器是运行Python程序的基本工具。在命令行中输入 py
    的头像 发表于 11-28 15:32 2352次阅读

    如何运行Python程序

    运行Python程序非常简单。Python是一种解释型语言,这意味着可以直接通过解释器来执行代码。下面我将详细介绍如何运行Python程序。
    的头像 发表于 11-24 09:31 1131次阅读

    python代码写完后点哪个运行

    命令行界面,输入命令 python ,然后将你的代码粘贴到解释器提示符 >>> 后面,按下回车即可运行代码。 集成开发环境(IDE):IDE是一种提供代码编辑、调试、
    的头像 发表于 11-24 09:28 4955次阅读

    python的run在哪

    Python的run指的是执行Python程序的操作,它可以在多个环境和平台上进行,包括命令行、集成开发环境(IDE)、Jupyter笔记本、文本编辑器等。下面将详细介绍Python
    的头像 发表于 11-24 09:27 1958次阅读

    python怎么运行程序

    Python是一种广泛使用的编程语言,它的简易和可读性使得它成为初学者和专业开发人员的首选。在运行Python程序之前,您需要安装Python解释器,然后按照以下步骤进行操作。 步骤1
    的头像 发表于 11-24 09:25 2475次阅读

    Python自带的命令窗口

    Python自带的命令窗口,也称为Python交互式解释器,是Python编程语言的一个重要工具,它允许用户在命令行界面中输入和执行
    的头像 发表于 11-22 14:02 860次阅读

    pycharm命令行终端运行代码

    Python是一种非常流行的编程语言,许多开发者使用它来编写各种应用程序和脚本。为了方便开发者编写和测试代码,PyCharm是一种集成开发环境(IDE),它提供了许多功能和工具,其中包括命令行终端
    的头像 发表于 11-22 11:20 4468次阅读

    python写完程序之后怎么运行

    Python是一门简洁、易学的编程语言,被广泛应用于数据分析、人工智能等领域。在学习Python编程的过程中,了解程序的运行机制是至关重要的。本文将详尽解析Python程序的
    的头像 发表于 11-22 11:10 955次阅读

    python怎样运行代码

    讨论Python代码的运行方式,包括解释器、交互式环境和命令行。 Python代码可以通过两种主要的方式运行:解释执行和编译执行。解释执行是
    的头像 发表于 11-22 10:31 1134次阅读