【转引】python代码安全指南

危险的函数调用

• eval，任何时候都不要使用eval，这个函数会到时代码上下文出现不可预期的变化，并且在eval的内容不确定时可能会导致黑客直接通过植入代码控制进程甚至是服务器。如非得使用该函数，推荐使用 ast.literal_eval 来进行操作。
• exec，execfile, 该statement用于在python中执行了一段代码并控制上下文,并可能导致产生与eval相同的问题。
• pickle.*, marshal.*（包含pickle和cpickle），pickle相关命令用于对包装当前上下文的一个代码处理逻辑，并序列化成一个字符串。在使用pickle.loads一段pickle序列化后的字符串时，如序列化字符串包含 reduce 魔术方法，则会导致pickle执行reduce中的内容，该序列化内容如被修改，则会导致在反序列化时触发恶意代码的注入。
• os.system, os.exec* , os.popen* , posix.system, ctypes.CDLL等, 在Python中以下类型的方法均可以调用系统命令（ctypes.CDLL包含的_load_library方法存在命令注入），在使用时，需要对传惨内容进行检查。

危险的处理方式

• 对于跨语言进行RPC通信时（如查询SQL时），尽量使用ORM后的接口调用，尽可能避免使用原生的查询代码。
  • 举例： sql = ‘select smcolumn from smtable where name="%s"’ % columnquery
    • 当columnquery传入可闭合sql语句时，就可以使得SQL条件跳出当前逻辑，从而执行更多其他类型的数据。如 columnquery='abc" and sleep(1e10000) # 如此即可挂起整个SQL事物，触发异常。
  • 在使用SQL时，请使用预编译绑定方式传入查询参数，一是可以加快sql的查询，二是可以避免大多数危险的突破SQL逻辑的语句产生
  • 同理适用于其他非结构化控制的指令器（bash、mongodb、redis⇒exec）等
  • 也同理适用于操作系统sh命令的执行等
• 对于正则处理，需要预估传入正则的内容大小以及正则的处理模式，如有大量文本传入正则解析时，会导致CPU飞起来，影响其他协程、事物的处理。
• 在使用XML解析时候，请关闭外部实体的解析逻辑来防止XXE攻击
• 对于入参的控制，请使用“检查”而非“过滤”，来避免错误的过滤导致的检查绕过。

运行时安全

• 请尽可能的使用vitualenv，并指定site-package目录，以避免可能产生的“水坑攻击”。
• 尽可能的将进程的启动权限压到非root用户，如遇到启动端口等高权方式，请使用setuid将进程降权。