你知道吗 这样直接运行Python命令,电脑等于“裸奔”
Python已经成为全球最受欢迎的编程语言之一。原因当然是Python简明易用的脚本语法,只需把一段程序放入.py文件中,就能快速运行。
相关文件
小伙伴们可以关注小编的Python源码、问题解答&学习交流群:733089476
有很多的资源可以白嫖的哈,需要源码的小伙伴可以在+君羊领取
而且Python语言很容易上手模块。比如你编写了一个模块my_lib.py,只需在调用这个模块的程序中加入一行import my_lib即可。
图片
这样设计的好处是,初学者能够非常方便地执行命令。但是对攻击者来说,这等于是为恶意程序大开后门。
尤其是一些初学者将网上的Python软件包、代码下载到本地~/Downloads文件夹后,就直接在此路径下运行python命令,这样做会给电脑带来极大的隐患。
别再图方便了
为何这样做会有危险?首先,我们要了解Python程序安全运行需要满足的三个条件:
1.系统路径上的每个条目都处于安全的位置;
2.“主脚本”所在的目录始终位于系统路径中;
3.若python命令使用-c和-m选项,调用程序的目录也必须是安全的。
如果你运行的是正确安装的Python,那么Python安装目录和virtualenv之外唯一会自动添加到系统路径的位置,就是当前主程序的安装目录。
这就是安全隐患的来源,下面用一个实例告诉你为什么。
如果你把pip安装在/usr/bin文件夹下,并运行pip命令。由于/usr/bin是系统路径,因此这是一个非常安全的地方。
但是,有些人并不喜欢直接使用pip,而是更喜欢调用/path/to/python -m pip。
这样做的好处是可以避免环境变量$PATH设置的复杂性,而且对于Windows用户来说,也可以避免处理安装各种exe脚本和文档。
所以问题就来了,如果你的下载文件中有一个叫做pip.py的文件,那么你将它将取代系统自带的pip,接管你的程序。
下载文件夹并不安全
比如你不是从PyPI,而是直接从网上直接下载了一个Python wheel文件。你很自然地输入以下命令来安装它:
~$ cd Downloads
~/Downloads$ python -m pip install ./totally-legit-package.whl
这似乎是一件很合理的事情。但你不知道的是,这么操作很有可能访问带有XSS JavaScript的站点,并将带有恶意软件的的pip.py到下载文件夹中。
下面是一个恶意攻击软件的演示实例:
~$ mkdir attacker_dir
~$ cd attacker_dir
~/attacker_dir$ echo 'print("lol ur pwnt")' > pip.py
~/attacker_dir$ python -m pip install requests
lol ur pwnt
看到了吗?这段代码生成了一个pip.py
,并且代替系统的pip接管了程序。
设置$PYTHONPATH也不安全
前面已经说过,Python只会调用系统路径、virtualenv虚拟环境路径以及当前主程序路径
你也许会说,那我手动设置一下 $PYTHONPATH
环境变量,不把当前目录放在环境变量里,这样不就安全了吗?
非也!不幸的是,你可能会遭遇另一种攻击方式。下面让我们模拟一个“脆弱的”Python程序:
# tool.py
try:import optional_extra
except ImportError:print("extra not found, that's fine")
然后创建2个目录:install_dir
和attacker_dir
。将上面的程序放在install_dir
中。然后cd attacker_dir
将复杂的恶意软件放在这里,并把它的名字改成tool.py
调用的optional_extra
模块:
# optional_extra.py
print("lol ur pwnt")
我们运行一下它:
~/attacker_dir$ python ../install_dir/tool.py
extra not found, that's fine
到这里还很好,没有出现任何问题。
但是这个习惯用法有一个严重的缺陷:第一次调用它时,如果$PYTHONPATH
以前是空的或者未设置,那么它会包含一个空字符串,该字符串被解析为当前目录。
让我们再尝试一下:
~/attacker_dir$ export PYTHONPATH="/a/perfectly/safe/place:$PYTHONPATH";
~/attacker_dir$ python ../install_dir/tool.py
lol ur pwnt
看到了吗?恶意脚本接管了程序。
为了安全起见,你可能会认为,清空$PYTHONPATH
总该没问题了吧?
Naive!还是不安全!
~/attacker_dir$ export PYTHONPATH="";
~/attacker_dir$ python ../install_dir/tool.py
lol ur pwnt
这里发生的事情是,$PYTHONPATH
变成空的了,这和unset是不一样的。
因为在Python里,os.environ.get(“PYTHONPATH”) == “”和os.environ.get(“PYTHONPATH”) == None
是不一样的。
如果要确保$PYTHONPATH
已从shell中清除,则需要使用unset命令处理一遍,然后就正常了。
设置$PYTHONPATH
曾经是设置Python开发环境的最常用方法。但你以后最好别再用它了,virtualenv可以更好地满足开发者需求。如果你过去设置了一个$PYTHONPATH,现在是很好的机会,把它删除了吧。
如果你确实需要在shell中使用PYTHONPATH,请用以下方法:
export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_1"
export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_2"
在bash和zsh中,$PYTHONPATH变量的值会变成:
$ echo "${PYTHONPATH}"
new_entry_1:new_entry_2
如此便保证了环境变量$PYTHONPATH
中没有空格和多余的冒号。
如果你仍在使用$PYTHONPATH
,请确保始终使用绝对路径!
另外,在下载文件夹中直接运行Jupyter Notebook也是一样危险的,比如jupyter notebook ~/Downloads/anything.ipynb
也有可能将恶意程序引入到代码中。
预防措施
最后总结一下要点。
1、如果要在下载文件夹~/Downloads中使用Python编写的工具,请养成良好习惯,使用pip所在路径/path/to/venv/bin/pip,而不是输入/path/to/venv/bin/python -m pip。
2、避免将~/Downloads作为当前工作目录,并在启动之前将要使用的任何软件移至更合适的位置。
了解Python从何处获取执行代码非常重要。赋予其他人执行任意Python命令的能力等同于赋予他对你电脑的完全控制权!
你知道吗 这样直接运行Python命令,电脑等于“裸奔”相关推荐
- 运行python文件、电脑突然黑屏_Python初学者请注意!别这样直接运行Python命令,否则电脑等于“裸奔”...
原标题:Python初学者请注意!别这样直接运行Python命令,否则电脑等于"裸奔" 本文经AI新媒体量子位(ID:QbitAI)授权转载,转载请联系出处晓查 编译整理 Pyth ...
- Python初学者请注意!别这样直接运行python命令,否则电脑等于“裸奔”
晓查 编译整理 量子位 报道 | 公众号 QbitAI Python已经成为全球最受欢迎的编程语言之一.原因当然是Python简明易用的脚本语法,只需把一段程序放入.py文件中,就能快速运行. 而且 ...
- python 清空文件夹_Python初学者请注意!别这样直接运行python命令,否则电脑等于“裸奔”...
Python已经成为全球最受欢迎的编程语言之一.原因当然是Python简明易用的脚本语法,只需把一段程序放入.py文件中,就能快速运行. 而且Python语言很容易上手模块.比如你编写了一个模块my_ ...
- python 清空文件夹_别这样直接运行Python命令,否则电脑等于“裸奔”
Python已经成为全球最受欢迎的编程语言之一.原因当然是Python简明易用的脚本语法,只需把一段程序放入.py文件中,就能快速运行.而且Python语言很容易上手模块.比如你编写了一个模块my_l ...
- 电脑运行python_别这样直接运行Python命令,否则电脑等于“裸奔”
Python已经成为全球最受欢迎的编程语言之一.原因当然是Python简明易用的脚本语法,只需把一段程序放入.py文件中,就能快速运行. 而且Python语言很容易上手模块.比如你编写了一个模块my_ ...
- python运行电脑要求_别这样直接运行python命令,否则电脑等于“裸奔”
晓查 编译整理 量子位 报道 | 公众号 QbitAI Python已经成为全球最受欢迎的编程语言之一.原因当然是Python简明易用的脚本语法,只需把一段程序放入.py文件中,就能快速运行. 而且P ...
- python必须用电脑吗_Python 初学者请注意!别这样直接运行 Python 命令,否则电脑等于“裸奔”...
点击上方" 杰哥的IT之旅 ",选择" 星标 "公众号 重磅干货,第一时间送达 晓查 编译整理 量子位 报道 | 公众号 QbitAI Python已经成为全球 ...
- 电脑运行python后很卡_Python初学者请注意!别这样直接运行python命令,否则电脑等于“裸奔”...
晓查 编译整理 量子位 报道 公众号 QbitAI Python已经成为全球最受欢迎的编程语言之一.原因当然是Python简明易用的脚本语法,只需把一段程序放入.py文件中,就能快速运行. 而且Py ...
- Python初学者请注意!别这样直接运行python命令,否则电脑等于“裸奔”!
Python已经成为全球最受欢迎的编程语言之一.原因当然是Python简明易用的脚本语法,只需把一段程序放入.py文件中,就能快速运行. 而且Python语言很容易上手模块.比如你编写了一个模块my_ ...
最新文章
- ceph PG设计,状态机,peering,recovery 导图
- linux(4):Linux逻辑卷详解总结
- LPA标签传播算法——MATLAB实现及代码
- 算法不会,尚能饭否之排序——冒泡排序(bubble sort)
- spring boot初步
- 计算机应用与医学信息基础知识,第一篇医学信息基础知识.PDF
- 荣耀手机动态修改imei信息
- 如何安装TreeView控件
- C51单片机的初次使用
- Yy And WJM
- rman归档日志备份到磁盘并恢复的测试
- 【考研英语】作文套话(自用)
- 前端展示m3u8视频
- Java负整数的左移、右移、无符号右移
- 老五苏-34:慧眼独具 比起“大哥”苏-27,苏-34的个子要高大一些。
- 2018年第九届蓝桥杯真题解析 | 日志统计【Python】
- pg 百万数据表 添加序号 20秒轻松搞定
- 第二节 LwIP简介
- 电阻(电阻器)学习干货
- 红外测温仪技术方案开发