最近我们的一个测试问是否有针对Python代码的静态分析工具。他正在评审一个用python编写的网站应用,试图找出其中是否有高风险的问题。我不确定是否有方便使用并专注于python代码安全性的分析工具,因为大多数可用的工具都是专注于语法编译而不是安全性,也有一些专注于安全性的工具,如Fortity,非常昂贵。不过,我可以给他一个高风险问题的列表,这些问题都可以通过人工评审很容易地被发现。通过这份列表可以让他检查出很多我们标准网站应用检查表中的高风险问题。
Python网站的漏洞检查
SQL注入
查找所有含有SQL查询的文件,你要找到使用和下面语法类似的查询语句:
stmt = "SELECt * FROM table WHERe id=?" connection.execute(stmt, (value,))
这意味着应用程序是使用参数化的查询。你不能找到以下任何一个的查询:
"SELECt * FROM table WHERe id=" + value
"SELECt * FROM table WHERe id=%s" % value
"SELECt * FROM table WHERe id={0}".format(value)
如果没有其他合适的处理这些都会导致SQL注入,最好还是使用参数化的形式。
命令注入
查找所有含有导入OS模块的文件。仔细检查这些文件确保没有不可接受的用户输入传递给os.popen*, os.spawn*, os.fork, os.system, 或者 os.exec* 。同时也要检查任何popen2模块和commands模块的调用。记住,除了os.exec*和os.spawn*,以上其他的方法和模块都不赞成使用,从Python2.6开始使用subprocess模块。任何还在使用这些方法或者包的应用都应修改为使用subprocess模块。虽然不反对,还是建议使用subprocess替换os.spawn*。
查找含有导入subprocess模块的文件,确保没有不可接受的用户输入传递给保重的任何方法。默认情况下所有的subprocess方法会将shell参数设定为False,以防止shell特殊字符被解释。这可以防止典型的命令注入攻击。如果需要将shell参数设置为True,那么根据你的python版本使用pipes.quete()和shlex.quote()函数先审查用户输入。
不能有以下调用方式:
subprocess.call("cat " + user_input, shell=True)
subprocess.call("cat %s" % user_input, shell=True)
subprocess.call("cat {0}".format(user_input), shell=True)
如果shell=True 是必须的那么请这样调用:
subprocess.call("cat " + pipes.quote(user_input), shell=True)
subprocess.call("cat %s" % pipes.quote(user_input), shell=True)
subprocess.call("cat {0}".format(pipes.quote(user_input)), shell=True)
如果shell=True不是必须的那么这样的调用已经足够,但是我还是建议对用户输入信息进行检查:
subprocess.call("cat " + user_input)
subprocess.call("cat %s" % user_input)
subprocess.call("cat {0}".format(user_input))
目录穿越漏洞
查找使用open()语句或者调用os.fdopen()方法的文件,确保没有不可接受用户输入传递给这些方法。
避免出现如下形式的调用:
open(user_input)
os.fdopen(user_input)
在打开一个文件前,先检查用户的输入,然后确定这个文件打开是否安全。
这将获得用户输入的绝对路径,并确保它从当前的工作目录开始,如以下:
根据python代码的结构,可以不适用当前的工作目录。任务目录路径都是可以用的。
跨站脚本
这个程序没有使用模板语言,因此需要在所有文件中查找使用cgi模块的文件,确保所有用户提供的输入都会使用cgi.escape()写回浏览器。cgi.escape()会将<,>,和&替换成HTML中的对应的符号。cgi.escape()的第一个参数是需要转换的字符串。第二个参数默认值为False,可以用来判断是否将双引号也进行转换。如果用户输入将在内部属性中使用,那么双引号也应该被转换。
CGI脚本使用简单的打印语句来创建从网站服务器返回给网页浏览器的页面。如下形式的调用应当避免: