简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
ホームページ > バックエンド開発 > Python チュートリアル > 本文

Python セキュリティ: 新しい文字列形式の脆弱性分析と解決策

PHPz
リリース: 2017-05-01 09:53:52
オリジナル
1406 人が閲覧しました

最近、Python の文字列の書式設定の脆弱性に注目しました。今日は、Python で導入された文字列の書式設定の新しい構文のセキュリティの脆弱性について説明します。

信頼できないユーザー入力に str.format を使用すると、セキュリティ上のリスクが生じます。私は実際にこの問題については長い間知っていましたが、今日までその深刻さに気づきませんでした。攻撃者はこれを使用して Jinja2 サンドボックスをバイパスできるため、深刻な情報漏洩の問題が発生します。それまでの間、この記事の最後に str.format の新しい安全なバージョンを提供します。

これは非常に深刻なセキュリティ リスクであることを思い出していただく必要があります。私がここで記事を書いている理由は、おそらくほとんどの人がそれが悪用されやすいことを知らないからです。

中心的な問題

Python 2.6 以降、Python では、.NET からインスピレーションを得て文字列をフォーマットするための新しい構文が導入されました。もちろん、Python に加えて、Rust や他のいくつかのプログラミング言語もこの構文をサポートしています。 .format() メソッドを使用すると、この構文はバイト文字列と Unicode 文字列の両方 (Python 3 では Unicode 文字列のみ) に適用でき、よりカスタマイズ可能な文字列にもマッピングできます。

この構文の特徴は、文字列形式の位置パラメーターとキーワード パラメーターを決定し、いつでもデータ項目を明示的に並べ替えることができることです。さらに、オブジェクトのプロパティやデータ項目にアクセスすることもできます。これがセキュリティ問題の根本原因です。

全体として、これを悪用して次のことを行うことができます: 

>>> 'class of {0} is {0.__class__}'.format(42)
"class of 42 is "
ログイン後にコピー

基本的に、書式文字列を制御できる人は誰でも、オブジェクトのさまざまな内部プロパティにアクセスできる可能性があります。

何が問題ですか?

最初の質問は、書式文字列を制御する方法です。次の場所から開始できます:

1. 文字列ファイルの信頼できないトランスレータ。複数の言語に翻訳された多くのアプリケーションがこの新しい Python 文字列フォーマット方法を使用しているため、これらは問題なく実行できる可能性が高いですが、誰もが入力されたすべての文字列を徹底的にレビューするわけではありません。

2. ユーザー公開設定。 一部のシステム ユーザーは特定の動作を構成できるため、これらの構成はフォーマット文字列の形式で公開される可能性があります。特別な注意として、一部のユーザーが Web アプリケーションを通じて通知電子メール、ログ メッセージ形式、またはその他の基本的なテンプレートを構成しているのを目にしました。

危険レベル

C インタプリタ オブジェクトを書式文字列に渡すだけの場合は、多くてもいくつかの整数クラスなどが公開されるだけなので、それほど危険はありません。

しかし、この書式文字列にPythonオブジェクトを渡すと面倒になります。これは、Python 関数から公開できるものの量が非常に膨大であるためです。 以下は、キーを漏洩する可能性がある仮想 Web アプリケーションのシナリオです: 

CONFIG = {
    'SECRET_KEY': 'super secret key'
}
 
class Event(object):
    def __init__(self, id, level, message):
        self.id = id
        self.level = level
        self.message = message
 
def format_event(format_string, event):
    return format_string.format(event=event)
ログイン後にコピー

ユーザーがここに format_string を挿入できる場合、次のように秘密の文字列を見つけることができます: 

{event.__init__.__globals__[CONFIG][SECRET_KEY]}
ログイン後にコピー

はサンドボックスをフォーマットします

それで、何をすべきか他の人にフォーマット文字列を提供してもらう必要がある場合はそうしますか? 実際、文書化されていない内部メカニズムの一部を使用して、文字列の書式設定の動作を変更することができます。 

from string import Formatter
from collections import Mapping
 
class MagicFormatMapping(Mapping):
    """This class implements a dummy wrapper to fix a bug in the Python
    standard library for string formatting.
 
    See http://bugs.python.org/issue13598 for information about why
    this is necessary.
    """
 
    def __init__(self, args, kwargs):
        self._args = args
        self._kwargs = kwargs
        self._last_index = 0
 
    def __getitem__(self, key):
        if key == '':
            idx = self._last_index
            self._last_index += 1
            try:
                return self._args[idx]
            except LookupError:
                pass
            key = str(idx)
        return self._kwargs[key]
 
    def __iter__(self):
        return iter(self._kwargs)
 
    def __len__(self):
        return len(self._kwargs)
 
# This is a necessary API but it's undocumented and moved around
# between Python releases
try:
    from _string import formatter_field_name_split
except ImportError:
    formatter_field_name_split = lambda \
        x: x._formatter_field_name_split()
{C} 
class SafeFormatter(Formatter):
 
    def get_field(self, field_name, args, kwargs):
        first, rest = formatter_field_name_split(field_name)
        obj = self.get_value(first, args, kwargs)
        for is_attr, i in rest:
            if is_attr:
                obj = safe_getattr(obj, i)
            else:
                obj = obj[i]
        return obj, first
 
def safe_getattr(obj, attr):
    # Expand the logic here.  For instance on 2.x you will also need
    # to disallow func_globals, on 3.x you will also need to hide
    # things like cr_frame and others.  So ideally have a list of
    # objects that are entirely unsafe to access.
    if attr[:1] == '_':
        raise AttributeError(attr)
    return getattr(obj, attr)
 
def safe_format(_string, *args, **kwargs):
    formatter = SafeFormatter()
    kwargs = MagicFormatMapping(args, kwargs)
    return formatter.vformat(_string, args, kwargs)
ログイン後にコピー

ここで、safe_format メソッドを使用して str.format を置き換えることができます: 

>>> '{0.__class__}'.format(42)
""
>>> safe_format('{0.__class__}', 42)
Traceback (most recent call last):
  File "", line 1, in
AttributeError: __class__
ログイン後にコピー

概要:

プログラム開発には、「いかなるときもユーザー入力を信用してはいけない」という格言があります。今では、この文が完全に意味をなしているように思えます。ですので、学生の皆さんはこのことを心に留めておいてください!

【おすすめコース】

Pythonの無料オンラインビデオチュートリアル

以上がPython セキュリティ: 新しい文字列形式の脆弱性分析と解決策の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
フォーマット
ソース:php.cn
前の記事:Python int() 関数の例の詳細な説明 次の記事:Python を使用して文字列 (漢字を含む) をトラバースする方法を共有する
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
babel-preset-react-app は、依存関係として明示的にリストせずに「@babel/plugin-proposal-private-property-in-object」パッケージを使用します。 私の問題は、新しい反応プロジェクトを作成しようとしていて、多くのバグの問題が発生した後、それらのいくつかをなんとか修正することができました。主な指示の 1 つは、次の行を追加するこ...
から 2023-10-18 20:38:28
0
1
239
JavaScript コードの脆弱性修正: 知っておくべき重要な手順 私は最強の JS ユーザーではありませんが、JS ユーザーとしては必要なので、Apache と PHP で動作する Web ページ用のコードを書きました。私の Ajax リクエスト...
から 2023-09-20 14:49:09
0
4
328
会社名登録フォーム 参考までに、コーディングは初心者で、独学で学びました。新しい SQL テーブルを作成するために使用するサインアップ フォームがあります。入力した会社名は、ログインするたびに作成され...
から 2023-09-05 19:05:36
0
1
289
PHPのセキュリティホールをインストールする方法 PHP はサーバー側で実行されるスクリプト言語です。 PHP にはセキュリティ上の脆弱性があり、攻撃者が FPM を通じて PHP のアクセス制限をバイパスしてデータを読み取ったり...
から 2022-06-15 14:57:21
0
0
932
Web サイトがハッキングされました。datebase.php の内容を暗号化する方法を教えてください。 Web サイトのランサムウェア攻撃は一般的な攻撃であるはずです。開発中の Web サイトであり、ログインしていたのは 2 人だけだったためです。ログを確認すると、攻撃者は数回攻撃を...
から 2020-10-31 15:26:42
1
4
949
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート
私たちについて 免責事項 Sitemap
PHP中国語ウェブサイト:福祉オンライン PHP トレーニング,PHP 学習者の迅速な成長を支援します!