Python의 새로운 문자열 형식 취약점 및 솔루션 분석

巴扎黑
풀어 주다: 2017-08-16 13:47:01
원래의
1151명이 탐색했습니다.

최근에는 Python 문자열 형식화 취약점이 주목을 받았습니다. 오늘은 Python에서 도입한 새로운 문자열 형식화 구문의 보안 취약점에 대해 심층 분석하고 이에 대한 보안 솔루션을 제공하겠습니다.

신뢰할 수 없는 사용자 입력에 str.format을 사용하면 보안 위험이 발생합니다. 사실 저는 이 문제에 대해 오랫동안 알고 있었지만 오늘까지 심각성을 깨닫지 못했습니다. 공격자는 이를 이용해 Jinja2 샌드박스를 우회할 수 있기 때문에 심각한 정보 유출 문제가 발생할 수 있습니다. 그동안 이 기사 마지막 부분에서 str.format의 새로운 안전한 버전을 제공합니다.

이것은 상당히 심각한 보안 위험이라는 점을 상기할 필요가 있습니다. 제가 여기에 글을 쓰는 이유는 아마도 대부분의 사람들이 악용되기가 얼마나 쉬운지 모르기 때문입니다.

핵심 문제

Python 2.6부터 Python은 .NET에서 영감을 받아 문자열 형식 지정을 위한 새로운 구문을 도입했습니다. 물론 Python 외에도 Rust 및 기타 프로그래밍 언어도 이 구문을 지원합니다. 이 구문은 .format() 메서드 덕분에 바이트 및 유니코드 문자열(Python 3에서는 유니코드 문자열만)에 모두 적용할 수 있으며 더 사용자 정의 가능한 Formatter API에 매핑할 수도 있습니다.

이 구문의 특징은 문자열 형식의 위치 및 키워드 매개변수를 결정하고 언제든지 데이터 항목을 명시적으로 재정렬할 수 있다는 것입니다. 게다가 개체의 속성과 데이터 항목에도 액세스할 수 있는데, 이것이 여기서 보안 문제의 근본 원인입니다.

전반적으로 이를 활용하여 다음 작업을 수행할 수 있습니다.

>>> 'class of {0} is {0.__class__}'.format(42)
"class of 42 is "
로그인 후 복사

기본적으로 형식 문자열을 제어할 수 있는 사람은 누구나 개체의 다양한 내부 속성에 액세스할 수 있습니다.

무엇이 문제인가요?

첫 번째 질문은 형식 문자열을 제어하는 ​​방법입니다. 다음 위치에서 시작할 수 있습니다:

1. 문자열 파일의 신뢰할 수 없는 번역기. 여러 언어로 번역된 많은 응용 프로그램이 이 새로운 Python 문자열 형식 지정 방법을 사용하기 때문에 우리는 이를 피할 가능성이 있지만 모든 사람이 입력된 모든 문자열을 철저하게 검토하지는 않습니다.

2. 사용자 노출 구성. 일부 시스템 사용자는 특정 동작을 구성할 수 있으므로 이러한 구성은 형식 문자열의 형태로 노출될 수 있습니다. 특별히 참고할 사항으로 일부 사용자가 웹 애플리케이션을 통해 알림 이메일, 로그 메시지 형식 또는 기타 기본 템플릿을 구성하는 것을 보았습니다.

위험 수준

C 인터프리터 객체를 형식 문자열에 전달하면 큰 위험은 없습니다. 이 경우 기껏해야 정수 같은 것들이 노출되기 때문입니다.

그러나 Python 객체가 이 형식 문자열에 전달되면 문제가 발생합니다. 그 이유는 Python 함수에서 노출될 수 있는 내용의 양이 꽤 어마어마하기 때문입니다. 다음은 키를 유출할 수 있는 가상의 웹 애플리케이션 시나리오입니다.

CONFIG = {
    'SECRET_KEY': 'super secret key'
}
 
class Event(object):
    def __init__(self, id, level, message):
        self.id = id
        self.level = level
        self.message = message
 
def format_event(format_string, event):
    return format_string.format(event=event)
로그인 후 복사

사용자가 여기에 format_string을 삽입할 수 있으면 다음과 같은 비밀 문자열을 찾을 수 있습니다.

{event.__init__.__globals__[CONFIG][SECRET_KEY]}
로그인 후 복사

는 샌드박싱을 포맷합니다

그래서 무엇을 해야 할까요? 다른 사람이 형식 문자열을 제공하도록 해야 한다면 그렇게 하시겠습니까? 실제로 문서화되지 않은 일부 내부 메커니즘을 사용하여 문자열 형식 지정 동작을 변경할 수 있습니다.

from string import Formatter
from collections import Mapping
 
class MagicFormatMapping(Mapping):
    """This class implements a dummy wrapper to fix a bug in the Python
    standard library for string formatting.
 
    See http://bugs.python.org/issue13598 for information about why
    this is necessary.
    """
 
    def __init__(self, args, kwargs):
        self._args = args
        self._kwargs = kwargs
        self._last_index = 0
 
    def __getitem__(self, key):
        if key == '':
            idx = self._last_index
            self._last_index += 1
            try:
                return self._args[idx]
            except LookupError:
                pass
            key = str(idx)
        return self._kwargs[key]
 
    def __iter__(self):
        return iter(self._kwargs)
 
    def __len__(self):
        return len(self._kwargs)
 
# This is a necessary API but it's undocumented and moved around
# between Python releases
try:
    from _string import formatter_field_name_split
except ImportError:
    formatter_field_name_split = lambda \
        x: x._formatter_field_name_split()
{C} 
class SafeFormatter(Formatter):
 
    def get_field(self, field_name, args, kwargs):
        first, rest = formatter_field_name_split(field_name)
        obj = self.get_value(first, args, kwargs)
        for is_attr, i in rest:
            if is_attr:
                obj = safe_getattr(obj, i)
            else:
                obj = obj[i]
        return obj, first
 
def safe_getattr(obj, attr):
    # Expand the logic here.  For instance on 2.x you will also need
    # to disallow func_globals, on 3.x you will also need to hide
    # things like cr_frame and others.  So ideally have a list of
    # objects that are entirely unsafe to access.
    if attr[:1] == '_':
        raise AttributeError(attr)
    return getattr(obj, attr)
 
def safe_format(_string, *args, **kwargs):
    formatter = SafeFormatter()
    kwargs = MagicFormatMapping(args, kwargs)
    return formatter.vformat(_string, args, kwargs)
로그인 후 복사

이제 safe_format 메소드를 사용하여 str.format을 대체할 수 있습니다:

>>> '{0.__class__}'.format(42)
""
>>> safe_format('{0.__class__}', 42)
Traceback (most recent call last):
  File "", line 1, in
AttributeError: __class__
로그인 후 복사

요약:

프로그램 개발 중에 이런 말이 있습니다: 언제든지 사용자 입력을 믿지 마십시오! 이제 이 문장이 완벽하게 이해되는 것 같습니다. 그러니 수험생 여러분은 이 점을 명심하시기 바랍니다!

위 내용은 Python의 새로운 문자열 형식 취약점 및 솔루션 분석의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

관련 라벨:
원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿