震驚！別這樣直接運行 Python 命令，否則電腦等于“裸奔”

Python 已經成為全球最受歡迎的編程語言之一，原因當然是 Python 簡明易用的腳本語法，只需把一段程式放入 .py 檔案中，就能快速運行

而且 Python 語言很容易上手模塊，比如你撰寫了一個模塊my_lib.py，只需在呼叫這個模塊的程式中加入一行import my_lib即可

這樣設計的好處是，初學者能夠非常方便地執行命令，但是對攻擊者來說，這等于是為惡意程式大開后門

尤其是一些初學者將網上的 Python 軟體包、代碼下載的到本地~/Downloads檔案夾后，就直接在此路徑下運行 python 命令，這樣做會給電腦帶來極大的隱患

別再圖方便了

為何這樣做會有危險？首先，我們要了解 Python 程式安全運行需要滿足的三個條件：

1. 系統路徑上的每個條目都處于安全的位置
2. “主腳本” 所在的目錄始終位于系統路徑中
3. 若 python 命令使用 -c 和 -m 選項，呼叫程式的目錄也必須是安全的

如果你運行的是正確安裝的 Python，那么Python 安裝目錄和 virtualenv 之外唯一會自動添加到系統路徑的位置，就是當前主程式的安裝目錄

這就是安全隱患的來源，下面用一個實體告訴你為什么

如果你把 pip 安裝在 /usr/bin檔案夾下，并運行 pip 命令，由于/usr/bin是系統路徑，因此這是一個非常安全的地方

但是，有些人并不喜歡直接使用 pip，而是更喜歡呼叫 /path/to/python -m pip

這樣做的好處是可以避免環境變數 $PATH 設定的復雜性，而且對于 Windows 用戶來說，也可以避免處理安裝各種 exe 腳本和檔案

所以問題就來了，如果你的下載檔案中有一個叫做 pip.py 的檔案，那么你將它將取代系統自帶的 pip，接管你的程式

很多人學習python，不知道從何學起，
很多人學習python，掌握了基本語法過后，不知道在哪里尋找案例上手，
很多已經做案例的人，卻不知道如何去學習更加高深的知識，
那么針對這三類人，我給大家提供一個好的學習平臺，免費領取視頻教程，電子書籍，以及課程的源代碼！
QQ群：957324352

下載檔案夾并不安全

比如你不是從 PyPI，而是直接從網上直接下載了一個 Python wheel 檔案，你很自然地輸入以下命令來安裝它：

$ cd ~/Downloads
$ python -m pip install ./totally-legit-package.whl

這似乎是一件很合理的事情

但你不知道的是，這么操作很有可能訪問帶有 XSS JavaScript 的站點，并將帶有惡意軟體的的pip.py到下載檔案夾中

下面是一個惡意攻擊軟體的演示實體：

~$ mkdir attacker_dir
~$ cd attacker_dir

$ echo 'print("lol ur pwnt")' > pip.py
$ python -m pip install requests
lol ur pwnt

看到了嗎？這段代碼生成了一個 pip.py，并且代替系統的 pip 接管了程式

設定$PYTHONPATH也不安全

前面已經說過，Python 只會呼叫系統路徑、virtualenv 虛擬環境路徑以及當前主程式路徑

你也許會說，那我手動設定一下 $PYTHONPATH 環境變數，不把當前目錄放在環境變數里，這樣不就安全了嗎？

非也！不幸的是，你可能會遭遇另一種攻擊方式，下面讓我們模擬一個“脆弱的” Python 程式：

# tool.py
try:
      import optional_extra
except ImportError:
      print("extra not found, that's fine")

然后創建 2 個目錄：install_dir和attacker_dir，將上面的程式放在 install_dir 中

然后 cd attacker_dir 將復雜的惡意軟體放在這里，并把它的名字改成 tool.py 呼叫的 optional_extra 模塊：

# optional_extra.py
print("lol ur pwnt")

我們運行一下它：

$ cd ~/attacker_dir
$ python ../install_dir/tool.py
extra not found, that's fine

到這里還很好，沒有出現任何問題

但是這個習慣用法有一個嚴重的缺陷：第一次呼叫它時，如果 $PYTHONPATH 以前是空的或者未設定，那么它會包含一個空字串，該字串被決議為當前目錄

讓我們再嘗試一下：

~/attacker_dir$ export PYTHONPATH="/a/perfectly/safe/place:$PYTHONPATH";
~/attacker_dir$ python ../install_dir/tool.py
lol ur pwnt

看到了嗎？惡意腳本接管了程式

為了安全起見，你可能會認為，清空 $PYTHONPATH總該沒問題了吧？Naive！還是不安全！

~/attacker_dir$ export PYTHONPATH="";
~/attacker_dir$ python ../install_dir/tool.py
lol ur pwnt

這里發生的事情是，$PYTHONPATH變成空的了，這和 unset 是不一樣的

因為在Python里，os.environ.get(“PYTHONPATH”) == “”和 os.environ.get(“PYTHONPATH”) == None是不一樣的

如果要確保 $PYTHONPATH 已從 shell 中清除，則需要使用 unset 命令處理一遍，然后就正常了

設定PYTHONPATH曾經是設定 Python 開發環境的最常用方法，但你以后最好別再用它了，virtualenv 可以更好地滿足開發者需求，如果你過去設定了一個PYTHONPATH曾經是設置Python開發環境的最常用方法，但你以后最好別再用它了，virtualenv可以更好地滿足開發者需求，如果你過去設置了一個PYTHONPATH，現在是很好的機會，把它洗掉了吧

如果你確實需要在 shell 中使用 PYTHONPATH，請用以下方法：

export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_1"
export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_2"

在bash和zsh中，$PYTHONPATH 變數的值會變成：

$ echo "${PYTHONPATH}"
new_entry_1:new_entry_2

如此便保證了環境變數 $PYTHONPATH 中沒有空格和多余的冒號，

如果你仍在使用 $PYTHONPATH，請確保始終使用絕對路徑！

另外，在下載檔案夾中直接運行 Jupyter Notebook 也是一樣危險的，比如jupyter notebook ~/Downloads/anything.ipynb也有可能將惡意程式引入到代碼中，

預防措施

最后總結一下要點，

1. 如果要在下載檔案夾 ~/Downloads 中使用 Python 撰寫的工具，請養成良好習慣，使用pip所在路徑 /path/to/venv/bin/pip，而不是輸入/path/to/venv/bin/python -m pip
2. 避免將 ~/Downloads 作為當前作業目錄，并在啟動之前將要使用的任何軟體移至更合適的位置
   

了解 Python 從何處獲取執行代碼非常重要，賦予其他人執行任意 Python 命令的能力等同于賦予他對你電腦的完全控制權

在這里推薦下我自己的Python開發學習群:957324352，群里都是學Python開發的，如果你想學或者正在學習Python ，歡迎你加入，大家都是軟體開發黨，不定期分享干貨（只有Python軟體開發相關的），包括我自己整理的一份2020最新的Python進階資料和高級開發教程，歡迎進階中和進想深入Python的小伙伴！

標籤：Python

上一篇：PHP設計模式之門面模式

下一篇：APP逆向案例---xxapp