州的先生的个人空间 / 州的先生 /
正文

小心!最近在 Python 项目开发中遇到的3个安全漏洞

原创
州的先生
州的先生
2021/09/15 11:35
阅读数 56
本文被收录于专区
行业趋势
进入专区参与更多专题讨论
最近在一个 Python Web 项目中处理了 3 个安全漏洞。
在修复完毕之后,来给大家简单地总结分享一下,以提高大家在程序编写和项目开发中的安全意识。

YAML文件解析漏洞

在项目中,我们使用了 Python 的 yaml 模块来解析用户上传文件中的.yaml文件,在之前的代码中我们使用了如下的代码对.yaml文件进行读取和解析: 
  
  
  
    
   
   
   
  1. import yaml
    2. 
   
   
   

    3. 
   
   
   
  3. yaml.load(yaml_file)
    4.
实际上,这样做会带来很大的安全风险。正常情况下,yaml会按照特定的解析规则对 yaml文件的内容进行解析,最后实现转换为Python可读取的对象形式。
但是,除此之外,yaml.load()方法还能调用任何Python函数,如果上传的yaml文件不是常规的yaml内容格式,而是一串 Python代码,它也会进行执行。
解决方法是,使用yaml模块的safe_load()方法代替load()方法来读取yaml文件。 
  
  
  
    
   
   
   
  1. import yaml
    2. 
   
   
   

    3. 
   
   
   
  3. yaml.safe_load(yaml_file)
    4.

SVG图片上传漏洞

SVG 是一个可伸缩的矢量图形,其使用XML来定义图形。
SVG 图片有一个绝佳的好处就是它放大或缩小都不会导致图片质量的下降,而像PNG、JPG等格式的图片在放大或缩小后都会带来一定程度的图片质量损失。
正是由于这一特性,使得越来越多的网站开始采用SVG格式的图片。
但是由于 SVG图片是通过 XML 来定义的,在其标准中也允许 <script>标签的存在,所以相当于就可以在SVG嵌入 JavaScript 的代码。而这,就会带来 XSS 的安全风险。
举个例子,我们通过如下代码构造一个SVG图片: 
  
  
  
    
   
   
   
  1. <?xml version="1.0" standalone="no"?>
    2. 
   
   
   
  2. <!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd">
    3. 
   
   
   

    4. 
   
   
   
  4. <svg version="1.1" baseProfile="full" xmlns="http://www.w3.org/2000/svg">
    5. 
   
   
   
  5.    <rect width="300" height="100" style="fill:rgb(0,0,255);stroke-width:3;stroke:rgb(0,0,0)" />
    6. 
   
   
   
  6.    <script type="text/javascript">
    7. 
   
   
   
  7.       alert("SVG XSS");
    8. 
   
   
   
  8.    </script>
    9. 
   
   
   
  9. </svg>
    10.
在本地显示如下图所示:
在网页中打开,就会触发SVG文件中的JavaScript代码,如下图所示:

用户输入XSS

用户输入是很常见的XSS产生领域,在这个项目中,因为使用了其自带的HTML模板引擎,自动过滤和转义了不安全的HTML标签和符号。所以一开始也没对用户输入的这一块内容进行过滤处理。 
  
  
  
    
   
   
   
  1. "><img src/onerror=alert(1)>
    2.
结果后面换了一个前端组件,在这个前端组件里面对文本内容进行解析,这个XSS漏洞就出现了。
索性在接收到用户输入的时候对其进行一次转义: 
  
  
  
    
   
   
   
  1. def html_filter(data):
    2. 
   
   
   
  2.     if len(data) == 0:
    3. 
   
   
   
  3.         return ""
    4. 
   
   
   
  4.     payloads = {
    5. 
   
   
   
  5.         '\'':'&apos;',
    6. 
   
   
   
  6.         '"':'&quot;',
    7. 
   
   
   
  7.         '<':'&lt;',
    8. 
   
   
   
  8.         '>':'&gt;'
    9. 
   
   
   
  9.     }
    10. 
   
   
   
  10.     new = data
    11. 
   
   
   
  11.     for key, value in payloads.items():
    12. 
   
   
   
  12.         new = new.replace(key, value)
    13. 
   
   
   
  13.     return new
    14.

根源

上述一切漏洞的根源,其实都是过于相信用户的输入。
在网络安全领域有一句铁律: 永远不要相信用户的一切输入。
的确,你永远不知道用户会有多变态,构造各种变态的输入值来试图突破系统。
所以,永远不要相信用户的一切输入,永远对用户的一切输入保持警惕、提防和审查。
你在项目开发中遇到过哪些安全漏洞?欢迎留言讨论!

🧐分享、点赞、在看,给个鼓励吧👇

本文分享自微信公众号 - 州的先生(zmister2016)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
yamlpython前端组件javascripthtmlsupport图片上传html模板引擎pythonwebloadsafe

© 著作权归作者所有

举报
加载中
点击引领话题📣 发布并加入讨论🔥

关于作者

州的先生
Lv5
州的先生
私信
提问
文章
314
经验值
3.3K
粉丝
91
关注
1

作者的专辑

全部
州的先生(314)

作者的其它热门文章

{{formatHtml(o.title)}}

热门资讯

1
🔥 动态编译 Java 的神器 Liquor v1.3.8 发布
2
11 种值得学习的前沿编程语言:Mojo、MoonBit……
3
JeecgBoot 对接本地化的大模型 DeepSeek-R1
4
OpenAI 宣布免费开放 ChatGPT 搜索,无需注册
5
DeepSeek 招人 —— 实习生月薪过万、多个岗位年薪百万!
6
Serpent OS 因资金短缺而暂缓开发
7
RWKV-7 1.5B 基底模型发布,我们必将能在手机高效跑 1T 参数模型
8
🐍开工大吉!FlyFlow 新年第一弹,三大新功能震撼上线!
9
Firefox 135.0 发布
10
🐳运维监控平台 WGCLOUD v3.5.7 全新发布

推荐关注

换一批
咖啡拿铁的技术分享
文章 179
访问 9.3W
梁桂钊
梁桂钊
文章 12
访问 2.2W
炒蚕豆吃蹦豆
炒蚕豆吃蹦豆
文章 466
访问 12.1W
想天软件奕潇
想天软件奕潇
文章 10
访问 3K
技安
技安
文章 1
访问 94

热门软件

Mantis - BUG 管理系统
DBMAIL - Unix邮件系统
HSQLDB - 嵌入式数据库
Embperl
ThinkPHP - 轻量级 PHP 开发框架
coverage.py - Python代码覆盖工具
Apache Click - Web应用程序框架
reCAPTCHA - 专业校验码
Opentaps - 开源企业 ERP 系统
Xen - 开源虚拟机
JPEGCam - 在线摄像头图片捕获
Groovy++ - Groovy 增强版
Firebug Lite
SmartRCP - Eclipse开发Flex的插件
MyDNS - DNS服务器软件
Dia - 流程图绘制软件
OFBiz - 企业流程自动化
Meerkat - jQuery底部横幅提示插件
Java Decompiler - Java反编译器
jQuery Mobile - HTML5 开发框架
0 评论
0 收藏
0
分享
返回顶部
顶部