孤惯|Python初学者请注意!别这样直接运行python命令
晓查 编译整理 量子位 报道 | 公众号 QbitAI
Python已经成为全球最受欢迎的编程语言之一 。 原因当然是Python简明易用的脚本语法 , 只需把一段程序放入.py文件中 , 就能快速运行 。
而且Python语言很容易上手模块 。 比如你编写了一个模块my_lib.py , 只需在调用这个模块的程序中加入一行import my_lib即可 。
这样设计的好处是 , 初学者能够非常方便地执行命令 。 但是对攻击者来说 , 这等于是为恶意程序大开后门 。
尤其是一些初学者将网上的Python软件包、代码下载的到本地~/Downloads文件夹后 , 就直接在此路径下运行python命令 , 这样做会给电脑带来极大的隐患 。
别再图方便了为何这样做会有危险?首先 , 我们要了解Python程序安全运行需要满足的三个条件:
- 系统路径上的每个条目都处于安全的位置;
- “主脚本”所在的目录始终位于系统路径中;
- 若python命令使用-c和-m选项 , 调用程序的目录也必须是安全的 。
如果你把pip安装在/usr/bin文件夹下 , 并运行pip命令 。 由于/usr/bin是系统路径 , 因此这是一个非常安全的地方 。
但是 , 有些人并不喜欢直接使用pip , 而是更喜欢调用/path/to/python -m pip 。
这样做的好处是可以避免环境变量$PATH设置的复杂性 , 而且对于Windows用户来说 , 也可以避免处理安装各种exe脚本和文档 。
所以问题就来了 , 如果你的下载文件中有一个叫做pip.py的文件 , 那么你将它将取代系统自带的pip , 接管你的程序 。
下载文件夹并不安全比如你不是从PyPI , 而是直接从网上直接下载了一个Python wheel文件 。 你很自然地输入以下命令来安装它:
~$ cd Downloads~/Downloads$ python -m pip install ./totally-legit-package.whl这似乎是一件很合理的事情 。 但你不知道的是 , 这么操作很有可能访问带有XSS JavaScript的站点 , 并将带有恶意软件的的pip.py到下载文件夹中 。下面是一个恶意攻击软件的演示实例:
~$ mkdir attacker_dir~$ cd attacker_dir~/attacker_dir$ echo 'print("lol ur pwnt")' > pip.py~/attacker_dir$ python -m pip install requestslol ur pwnt看到了吗?这段代码生成了一个pip.py , 并且代替系统的pip接管了程序 。设置$PYTHONPATH也不安全前面已经说过 , Python只会调用系统路径、virtualenv虚拟环境路径以及当前主程序路径
你也许会说 , 那我手动设置一下 $PYTHONPATH 环境变量 , 不把当前目录放在环境变量里 , 这样不就安全了吗?
非也!不幸的是 , 你可能会遭遇另一种攻击方式 。 下面让我们模拟一个“脆弱的”Python程序:
# tool.pytry:import optional_extraexcept ImportError:print("extra not found, that's fine")
推荐阅读
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- 孤惯|性价比最高的电脑音箱有哪些?20款50-500元电脑音箱推荐
- 孤惯|通用人工智能啥时候能实现?这是我的最新预测
- 孤惯|微软 Bing 搜索核心技术 BitFunnel 原理揭秘
- Python|python到底是强类型语言,还是弱类型语言?
- 孤惯|首发麒麟9000芯片!华为Mate 40系列全家福保护壳曝光
- 通天战队|高大上的词云,其实很简单
- 孤惯|全球知名电气、安全继电器品牌介绍
- 人走茶凉|重磅!堪称史上最强电子版Python入门手册,终于可以下载了
- 吉他|吉他圆角缺角区别在哪?最全初学者吉他入门挑选指南
- 孤惯|揭秘中兴天机Axon 20 5G屏下摄像诞生过程
