別這樣直接運(yùn)行 Python 命令，否則電腦等于“裸奔”

Python 已經(jīng)成為全球最受歡迎的編程語(yǔ)言之一。原因當(dāng)然是 Python 簡(jiǎn)明易用的腳本語(yǔ)法，只需把一段程序放入?.py?文件中，就能快速運(yùn)行

而且 Python 語(yǔ)言很容易上手模塊。比如你編寫了一個(gè)模塊my_lib.py，只需在調(diào)用這個(gè)模塊的程序中加入一行import my_lib即可

這樣設(shè)計(jì)的好處是，初學(xué)者能夠非常方便地執(zhí)行命令。但是對(duì)攻擊者來說，這等于是為惡意程序大開后門

尤其是一些初學(xué)者將網(wǎng)上的 Python 軟件包、代碼下載的到本地~/Downloads文件夾后，就直接在此路徑下運(yùn)行 python 命令，這樣做會(huì)給電腦帶來極大的隱患

別再圖方便了

為何這樣做會(huì)有危險(xiǎn)？首先，我們要了解 Python 程序安全運(yùn)行需要滿足的三個(gè)條件：

1. 系統(tǒng)路徑上的每個(gè)條目都處于安全的位置

2. “主腳本” 所在的目錄始終位于系統(tǒng)路徑中

3. 若 python 命令使用 -c 和 -m 選項(xiàng)，調(diào)用程序的目錄也必須是安全的

如果你運(yùn)行的是正確安裝的 Python，那么Python 安裝目錄和 virtualenv 之外唯一會(huì)自動(dòng)添加到系統(tǒng)路徑的位置，就是當(dāng)前主程序的安裝目錄

這就是安全隱患的來源，下面用一個(gè)實(shí)例告訴你為什么

如果你把 pip 安裝在 /usr/bin文件夾下，并運(yùn)行 pip 命令，由于/usr/bin是系統(tǒng)路徑，因此這是一個(gè)非常安全的地方

但是，有些人并不喜歡直接使用 pip，而是更喜歡調(diào)用?/path/to/python -m pip

這樣做的好處是可以避免環(huán)境變量 $PATH 設(shè)置的復(fù)雜性，而且對(duì)于 Windows 用戶來說，也可以避免處理安裝各種 exe 腳本和文檔

所以問題就來了，如果你的下載文件中有一個(gè)叫做?pip.py?的文件，那么你將它將取代系統(tǒng)自帶的 pip，接管你的程序

下載文件夾并不安全

比如你不是從 PyPI，而是直接從網(wǎng)上直接下載了一個(gè) Python wheel 文件，你很自然地輸入以下命令來安裝它：

$?cd?~/Downloads
$?python?-m?pip?install?./totally-legit-package.whl

這似乎是一件很合理的事情

但你不知道的是，這么操作很有可能訪問帶有 XSS JavaScript 的站點(diǎn)，并將帶有惡意軟件的的pip.py到下載文件夾中

下面是一個(gè)惡意攻擊軟件的演示實(shí)例：

~$?mkdir?attacker_dir
~$?cd?attacker_dir

$?echo?'print("lol?ur?pwnt")'?>?pip.py
$?python?-m?pip?install?requests
lol?ur?pwnt

看到了嗎？這段代碼生成了一個(gè)?pip.py，并且代替系統(tǒng)的 pip 接管了程序

設(shè)置$PYTHONPATH也不安全

前面已經(jīng)說過，Python 只會(huì)調(diào)用系統(tǒng)路徑、virtualenv 虛擬環(huán)境路徑以及當(dāng)前主程序路徑

你也許會(huì)說，那我手動(dòng)設(shè)置一下 $PYTHONPATH 環(huán)境變量，不把當(dāng)前目錄放在環(huán)境變量里，這樣不就安全了嗎？

非也！不幸的是，你可能會(huì)遭遇另一種攻擊方式。下面讓我們模擬一個(gè)“脆弱的” Python 程序：

#?tool.py
try:
??????import?optional_extra
except?ImportError:
??????print("extra?not?found,?that's?fine")

然后創(chuàng)建 2 個(gè)目錄：install_dir和attacker_dir。將上面的程序放在 install_dir 中

然后?cd attacker_dir?將復(fù)雜的惡意軟件放在這里，并把它的名字改成?tool.py?調(diào)用的?optional_extra?模塊：

#?optional_extra.py
print("lol?ur?pwnt")

我們運(yùn)行一下它：

$?cd?~/attacker_dir
$?python?../install_dir/tool.py
extra?not?found,?that's?fine

到這里還很好，沒有出現(xiàn)任何問題

但是這個(gè)習(xí)慣用法有一個(gè)嚴(yán)重的缺陷：第一次調(diào)用它時(shí)，如果 $PYTHONPATH 以前是空的或者未設(shè)置，那么它會(huì)包含一個(gè)空字符串，該字符串被解析為當(dāng)前目錄

讓我們?cè)賴L試一下：

~/attacker_dir$?export?PYTHONPATH="/a/perfectly/safe/place:$PYTHONPATH";
~/attacker_dir$?python?../install_dir/tool.py
lol?ur?pwnt

看到了嗎？惡意腳本接管了程序

為了安全起見，你可能會(huì)認(rèn)為，清空 $PYTHONPATH總該沒問題了吧？Naive！還是不安全！

~/attacker_dir$?export?PYTHONPATH="";
~/attacker_dir$?python?../install_dir/tool.py
lol?ur?pwnt

這里發(fā)生的事情是，$PYTHONPATH變成空的了，這和 unset 是不一樣的

因?yàn)樵赑ython里，os.environ.get(“PYTHONPATH”) == “”和 os.environ.get(“PYTHONPATH”) == None是不一樣的

如果要確保 $PYTHONPATH 已從 shell 中清除，則需要使用 unset 命令處理一遍，然后就正常了

設(shè)置$PYTHONPATH曾經(jīng)是設(shè)置 Python 開發(fā)環(huán)境的最常用方法。但你以后最好別再用它了，virtualenv 可以更好地滿足開發(fā)者需求。如果你過去設(shè)置了一個(gè)$PYTHONPATH，現(xiàn)在是很好的機(jī)會(huì)，把它刪除了吧

如果你確實(shí)需要在 shell 中使用 PYTHONPATH，請(qǐng)用以下方法：

export?PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_1"
export?PYTHONPATH="${PYTHONPATH:+${PYTHONPATH}:}new_entry_2"

在bash和zsh中，$PYTHONPATH 變量的值會(huì)變成：

$?echo?"${PYTHONPATH}"
new_entry_1:new_entry_2

如此便保證了環(huán)境變量 $PYTHONPATH 中沒有空格和多余的冒號(hào)。

如果你仍在使用 $PYTHONPATH，請(qǐng)確保始終使用絕對(duì)路徑！

另外，在下載文件夾中直接運(yùn)行 Jupyter Notebook 也是一樣危險(xiǎn)的，比如jupyter notebook ~/Downloads/anything.ipynb也有可能將惡意程序引入到代碼中。

預(yù)防措施

最后總結(jié)一下要點(diǎn)。

1. 如果要在下載文件夾 ~/Downloads 中使用 Python 編寫的工具，請(qǐng)養(yǎng)成良好習(xí)慣，使用pip所在路徑 /path/to/venv/bin/pip，而不是輸入/path/to/venv/bin/python -m pip

2. 避免將 ~/Downloads 作為當(dāng)前工作目錄，并在啟動(dòng)之前將要使用的任何軟件移至更合適的位置

了解 Python 從何處獲取執(zhí)行代碼非常重要，賦予其他人執(zhí)行任意 Python 命令的能力等同于賦予他對(duì)你電腦的完全控制權(quán)

希望以上文字對(duì)初學(xué) Python 的你有所幫助！