Python已经成为全球最受欢迎的编程语言之一。原因当然是Python简明易用的脚本语法,只需把一段程序放入.py文件中,就能快速运行。

而且Python语言很容易上手模块。比如你编写了一个模块my_lib.py,只需在调用这个模块的程序中加入一行import my_lib即可。

学习Python中有不明白推荐加入交流裙
                号:654234959
                群里有志同道合的小伙伴,互帮互助,
                群里有免费的视频学习教程和PDF!

这样设计的好处是,初学者能够非常方便地执行命令。但是对攻击者来说,这等于是为恶意程序大开后门。

尤其是一些初学者将网上的Python软件包、代码下载的到本地~/Downloads文件夹后,就直接在此路径下运行python命令,这样做会给电脑带来极大的隐患。

别再图方便了

为何这样做会有危险?首先,我们要了解Python程序安全运行需要满足的三个条件:

系统路径上的每个条目都处于安全的位置;

“主脚本”所在的目录始终位于系统路径中;

若python命令使用-c和-m选项,调用程序的目录也必须是安全的。

如果你运行的是正确安装的Python,那么Python安装目录和virtualenv之外唯一会自动添加到系统路径的位置,就是当前主程序的安装目录。

这就是安全隐患的来源,下面用一个实例告诉你为什么。

如果你把pip安装在 /usr/bin文件夹下,并运行pip命令。由于/usr/bin是系统路径,因此这是一个非常安全的地方。

但是,有些人并不喜欢直接使用pip,而是更喜欢调用/path/to/python -m pip

这样做的好处是可以避免环境变量 $PATH 设置的复杂性,而且对于Windows用户来说,也可以避免处理安装各种exe脚本和文档。

所以问题就来了,如果你的下载文件中有一个叫做pip.py的文件,那么你将它将取代系统自带的pip,接管你的程序。

下载文件夹并不安全

比如你不是从PyPI,而是直接从网上直接下载了一个Python wheel文件。你很自然地输入以下命令来安装它:

$cd~/Downloads

$ python -m pip install ./totally-legit-package.whl

这似乎是一件很合理的事情。但你不知道的是,这么操作很有可能访问带有 XSS JavaScript 的站点,并将带有恶意软件的的pip.py到下载文件夹中。

下面是一个恶意攻击软件的演示实例:

~$ mkdir attacker_dir

~$ cd attacker_dir

$

echo'print("lol ur pwnt")'> pip.py

$ python -m pip install requests

lol ur pwnt

看到了吗?这段代码生成了一个pip.py,并且代替系统的pip接管了程序。

设置$PYTHONPATH也不安全

前面已经说过,Python只会调用系统路径、virtualenv虚拟环境路径以及当前主程序路径

你也许会说,那我手动设置一下 $PYTHONPATH 环境变量,不把当前目录放在环境变量里,这样不就安全了吗?

非也!不幸的是,你可能会遭遇另一种攻击方式。下面让我们模拟一个“脆弱的”Python程序:

# tool.py

try:

importoptional_extra

exceptImportError:

print("extra not found, that's fine")

然后创建2个目录:install_dirattacker_dir。将上面的程序放在install_dir中。然后cd attacker_dir将复杂的恶意软件放在这里,并把它的名字改成tool.py调用的optional_extra模块:

# optional_extra.py

print("lol ur pwnt")

我们运行一下它:

$cd~/attacker_dir

$ python ../install_dir/tool.py

extra not found, that's fine

到这里还很好,没有出现任何问题。

但是这个习惯用法有一个严重的缺陷:第一次调用它时,如果 $PYTHONPATH 以前是空的或者未设置,那么它会包含一个空字符串,该字符串被解析为当前目录。

让我们再尝试一下:

~/attacker_dir$ export PYTHONPATH="/a/perfectly/safe/place:$PYTHONPATH";

~/attacker_dir$ python ../install_dir/tool.py

lol ur pwnt

看到了吗?恶意脚本接管了程序。

为了安全起见,你可能会认为,清空 $PYTHONPATH总该没问题了吧?Naive!还是不安全!

~/attacker_dir$ export PYTHONPATH="";

~/attacker_dir$ python ../install_dir/tool.py

lol ur pwnt

这里发生的事情是,$PYTHONPATH变成空的了,这和unset是不一样的。

因为在Python里,os.environ.get(“PYTHONPATH”) == “”和 os.environ.get(“PYTHONPATH”) == None是不一样的。

如果要确保 $PYTHONPATH 已从shell中清除,则需要使用unset命令处理一遍,然后就正常了。

设置$PYTHONPATH曾经是设置Python开发环境的最常用方法。但你以后最好别再用它了,virtualenv可以更好地满足开发者需求。如果你过去设置了一个$PYTHONPATH,现在是很好的机会,把它删除了吧。

如果你确实需要在shell中使用PYTHONPATH,请用以下方法:

export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_1"

export PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_2"

在bash和zsh中,$PYTHONPATH 变量的值会变成:

$echo"${PYTHONPATH}"

new_entry_1:new_entry_2

如此便保证了环境变量 $PYTHONPATH 中没有空格和多余的冒号。

如果你仍在使用$PYTHONPATH,请确保始终使用绝对路径

另外,在下载文件夹中直接运行Jupyter Notebook也是一样危险的,比如jupyter notebook ~/Downloads/anything.ipynb也有可能将恶意程序引入到代码中。

预防措施

最后总结一下要点。

如果要在下载文件夹~/Downloads中使用Python编写的工具,请养成良好习惯,使用pip所在路径 /path/to/venv/bin/pip,而不是输入/path/to/venv/bin/python -m pip。

避免将~/Downloads作为当前工作目录,并在启动之前将要使用的任何软件移至更合适的位置。

了解Python从何处获取执行代码非常重要。赋予其他人执行任意Python命令的能力等同于赋予他对你电脑的完全控制权!

希望以上文字对初学Python的你有所帮助。

作者:小老鼠Python零基础速学
链接:https://www.jianshu.com/p/2eaa8110a485
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

别这样直接运行Python命令,否则电脑等于“裸奔”相关推荐

  1. 你知道吗 这样直接运行Python命令,电脑等于“裸奔”

    Python已经成为全球最受欢迎的编程语言之一.原因当然是Python简明易用的脚本语法,只需把一段程序放入.py文件中,就能快速运行. 相关文件 小伙伴们可以关注小编的Python源码.问题解答&a ...

  2. 这样直接运行 Python 命令,电脑等于“裸奔”

    点击

  3. 这样直接运行Python命令,电脑等于“裸奔”

  4. 运行python文件、电脑突然黑屏_Python初学者请注意!别这样直接运行Python命令,否则电脑等于“裸奔”...

    原标题:Python初学者请注意!别这样直接运行Python命令,否则电脑等于"裸奔" 本文经AI新媒体量子位(ID:QbitAI)授权转载,转载请联系出处晓查 编译整理 Pyth ...

  5. Python初学者请注意!别这样直接运行python命令,否则电脑等于“裸奔”

    晓查 编译整理  量子位 报道 | 公众号 QbitAI Python已经成为全球最受欢迎的编程语言之一.原因当然是Python简明易用的脚本语法,只需把一段程序放入.py文件中,就能快速运行. 而且 ...

  6. python 清空文件夹_Python初学者请注意!别这样直接运行python命令,否则电脑等于“裸奔”...

    Python已经成为全球最受欢迎的编程语言之一.原因当然是Python简明易用的脚本语法,只需把一段程序放入.py文件中,就能快速运行. 而且Python语言很容易上手模块.比如你编写了一个模块my_ ...

  7. python 清空文件夹_别这样直接运行Python命令,否则电脑等于“裸奔”

    Python已经成为全球最受欢迎的编程语言之一.原因当然是Python简明易用的脚本语法,只需把一段程序放入.py文件中,就能快速运行.而且Python语言很容易上手模块.比如你编写了一个模块my_l ...

  8. 电脑运行python_别这样直接运行Python命令,否则电脑等于“裸奔”

    Python已经成为全球最受欢迎的编程语言之一.原因当然是Python简明易用的脚本语法,只需把一段程序放入.py文件中,就能快速运行. 而且Python语言很容易上手模块.比如你编写了一个模块my_ ...

  9. python运行电脑要求_别这样直接运行python命令,否则电脑等于“裸奔”

    晓查 编译整理 量子位 报道 | 公众号 QbitAI Python已经成为全球最受欢迎的编程语言之一.原因当然是Python简明易用的脚本语法,只需把一段程序放入.py文件中,就能快速运行. 而且P ...

  10. python必须用电脑吗_Python 初学者请注意!别这样直接运行 Python 命令,否则电脑等于“裸奔”...

    点击上方" 杰哥的IT之旅 ",选择" 星标 "公众号 重磅干货,第一时间送达 晓查 编译整理 量子位 报道 | 公众号 QbitAI Python已经成为全球 ...

最新文章

  1. 监控摄像头cad图例_一套实用的智能化弱电系统大样图,可以作为弱电项目CAD设计素材...
  2. Docker CE 全自动安装
  3. nrf51822-提高nordic ble数据发送速率
  4. VS(官方)跨平台开发远程调试教程(远程开发)
  5. 只显示小方格_木托盘拼成院子围栏,镂空方格里都种上菜,一物两用,收获满满...
  6. 如何做一个姿势正确的2B产品经理
  7. 计算机网络原理笔记-三次握手
  8. 部署superset_ubuntu16下部署apache superset趟坑指南(内有福利)
  9. [GIT] warning: LF will be replaced by CRLF问题解决方法
  10. JSON.parse()函数处理json格式字符串方法
  11. MySQL性能优化的21个最佳实践 和 mysql使用索引
  12. php抽奖概率怎么设计,php编写抽奖后台实现抽奖概率计算
  13. MATLAB机器人工作空间三轴机器人scara
  14. 达梦数据库出现故障无法启动解决方法-通过归档日志修复数据库
  15. 建筑平面布置与防火防烟分区(一)
  16. 苹果ios音频的回声消除处理
  17. 高并发常见的解决方案
  18. 切换windows系统版本
  19. SOUI总结之盒子模型
  20. 戴尔笔记本连接无线网络不能上网的解决方法

热门文章

  1. 【2019-总结】初中毕业暑假集训No.6
  2. 用Pytorch搭建一个房价预测模型
  3. 2019-9-6学啊哈C所得
  4. Qt 单选按钮 QButtonGroup 设置背景图片以及去掉小圆点
  5. 怎么使用_水处理活性炭怎么使用
  6. MySQL(SQL/约束与索引/函数/关联查询)
  7. 终于解决了!笔记本Win10,ubuntu西部数据移动硬盘无法识别无响应,时好时不好
  8. 压缩感知重构算法之基追踪(Basis Pursuit, BP)
  9. 致歉!遭遇恶意团伙刷票,活动取消!改为随机抽奖方式,红包增至10名!
  10. 益聚星荣:卖衣服不如卖房?波司登、鸿星尔克纷纷出手…