최근에는 Python 문자열 형식화 취약점이 주목을 받았습니다. 오늘은 Python에서 도입한 새로운 문자열 형식화 구문의 보안 취약점에 대해 심층 분석하고 이에 대한 보안 솔루션을 제공하겠습니다.
신뢰할 수 없는 사용자 입력에 str.format을 사용하면 보안 위험이 발생합니다. 사실 저는 이 문제에 대해 오랫동안 알고 있었지만 오늘까지 심각성을 깨닫지 못했습니다. 공격자는 이를 이용해 Jinja2 샌드박스를 우회할 수 있기 때문에 심각한 정보 유출 문제가 발생할 수 있습니다. 그동안 이 기사 마지막 부분에서 str.format의 새로운 안전한 버전을 제공합니다.
이것은 상당히 심각한 보안 위험이라는 점을 상기할 필요가 있습니다. 제가 여기에 글을 쓰는 이유는 아마도 대부분의 사람들이 악용되기가 얼마나 쉬운지 모르기 때문입니다.
Python 2.6부터 Python은 .NET에서 영감을 받아 문자열 형식 지정을 위한 새로운 구문을 도입했습니다. 물론 Python 외에도 Rust 및 기타 프로그래밍 언어도 이 구문을 지원합니다. 이 구문은 .format() 메서드 덕분에 바이트 및 유니코드 문자열(Python 3에서는 유니코드 문자열만)에 모두 적용할 수 있으며 더 사용자 정의 가능한 Formatter API에 매핑할 수도 있습니다.
이 구문의 특징은 문자열 형식의 위치 및 키워드 매개변수를 결정하고 언제든지 데이터 항목을 명시적으로 재정렬할 수 있다는 것입니다. 게다가 개체의 속성과 데이터 항목에도 액세스할 수 있는데, 이것이 여기서 보안 문제의 근본 원인입니다.
전반적으로 이를 활용하여 다음 작업을 수행할 수 있습니다.
>>> 'class of {0} is {0.__class__}'.format(42) "class of 42 is "
기본적으로 형식 문자열을 제어할 수 있는 사람은 누구나 개체의 다양한 내부 속성에 액세스할 수 있습니다.
첫 번째 질문은 형식 문자열을 제어하는 방법입니다. 다음 위치에서 시작할 수 있습니다:
1. 문자열 파일의 신뢰할 수 없는 번역기. 여러 언어로 번역된 많은 응용 프로그램이 이 새로운 Python 문자열 형식 지정 방법을 사용하기 때문에 우리는 이를 피할 가능성이 있지만 모든 사람이 입력된 모든 문자열을 철저하게 검토하지는 않습니다.
2. 사용자 노출 구성. 일부 시스템 사용자는 특정 동작을 구성할 수 있으므로 이러한 구성은 형식 문자열의 형태로 노출될 수 있습니다. 특별히 참고할 사항으로 일부 사용자가 웹 애플리케이션을 통해 알림 이메일, 로그 메시지 형식 또는 기타 기본 템플릿을 구성하는 것을 보았습니다.
C 인터프리터 객체를 형식 문자열에 전달하면 큰 위험은 없습니다. 이 경우 기껏해야 정수 같은 것들이 노출되기 때문입니다.
그러나 Python 객체가 이 형식 문자열에 전달되면 문제가 발생합니다. 그 이유는 Python 함수에서 노출될 수 있는 내용의 양이 꽤 어마어마하기 때문입니다. 다음은 키를 유출할 수 있는 가상의 웹 애플리케이션 시나리오입니다.
CONFIG = { 'SECRET_KEY': 'super secret key' } class Event(object): def __init__(self, id, level, message): self.id = id self.level = level self.message = message def format_event(format_string, event): return format_string.format(event=event)
사용자가 여기에 format_string을 삽입할 수 있으면 다음과 같은 비밀 문자열을 찾을 수 있습니다.
{event.__init__.__globals__[CONFIG][SECRET_KEY]}
그래서 무엇을 해야 할까요? 다른 사람이 형식 문자열을 제공하도록 해야 한다면 그렇게 하시겠습니까? 실제로 문서화되지 않은 일부 내부 메커니즘을 사용하여 문자열 형식 지정 동작을 변경할 수 있습니다.
from string import Formatter from collections import Mapping class MagicFormatMapping(Mapping): """This class implements a dummy wrapper to fix a bug in the Python standard library for string formatting. See http://bugs.python.org/issue13598 for information about why this is necessary. """ def __init__(self, args, kwargs): self._args = args self._kwargs = kwargs self._last_index = 0 def __getitem__(self, key): if key == '': idx = self._last_index self._last_index += 1 try: return self._args[idx] except LookupError: pass key = str(idx) return self._kwargs[key] def __iter__(self): return iter(self._kwargs) def __len__(self): return len(self._kwargs) # This is a necessary API but it's undocumented and moved around # between Python releases try: from _string import formatter_field_name_split except ImportError: formatter_field_name_split = lambda \ x: x._formatter_field_name_split() {C} class SafeFormatter(Formatter): def get_field(self, field_name, args, kwargs): first, rest = formatter_field_name_split(field_name) obj = self.get_value(first, args, kwargs) for is_attr, i in rest: if is_attr: obj = safe_getattr(obj, i) else: obj = obj[i] return obj, first def safe_getattr(obj, attr): # Expand the logic here. For instance on 2.x you will also need # to disallow func_globals, on 3.x you will also need to hide # things like cr_frame and others. So ideally have a list of # objects that are entirely unsafe to access. if attr[:1] == '_': raise AttributeError(attr) return getattr(obj, attr) def safe_format(_string, *args, **kwargs): formatter = SafeFormatter() kwargs = MagicFormatMapping(args, kwargs) return formatter.vformat(_string, args, kwargs)
이제 safe_format 메소드를 사용하여 str.format을 대체할 수 있습니다:
>>> '{0.__class__}'.format(42) "" >>> safe_format('{0.__class__}', 42) Traceback (most recent call last): File "", line 1, in AttributeError: __class__
프로그램 개발 중에 이런 말이 있습니다: 언제든지 사용자 입력을 믿지 마십시오! 이제 이 문장이 완벽하게 이해되는 것 같습니다. 그러니 수험생 여러분은 이 점을 명심하시기 바랍니다!
위 내용은 Python의 새로운 문자열 형식 취약점 및 솔루션 분석의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!