代码气味 - 蹲着-Python教程-PHP中文网

首页

后端开发

Python教程

代码气味 - 蹲着

PHPz

Aug 14, 2024 am 10:38 AM

不要提前在关键任务资源上使用可猜测的名称

TL;DR：通过避免可预测的命名模式来保护您的云资源。

问题

可预测的名字
未经授权的访问
数据暴露风险
影子资源
帐户接管
Idor 漏洞
过早优化

解决方案

使用带有暗键的唯一存储桶名称
验证创建的所有权
充分保障资源
使用间接混淆真实姓名
书名防止抢注
随机名称

语境

当攻击者预见到云资源（例如 S3 存储桶）的命名模式时，就会发生资源抢占。

攻击者在用户尚未尚未部署资源的区域创建它们。

用户与这些攻击者拥有的资源的交互可能会导致严重的安全漏洞，例如数据泄露、未经授权的访问或帐户接管。

此漏洞在 AWS 等经常使用可预测命名约定的环境中非常严重。

许多系统避免这种间接方式，担心性能损失，这是过早优化的明显例子。

示例代码

错误的

def create_bucket(account_id, region):
    bucket_name = f"aws-glue-assets-{account_id}-{region}"
    create_s3_bucket(bucket_name)  
   # This is deterministic and open

正确的

import uuid

def create_bucket(account_id, region):
    unique_id = uuid.uuid4().hex
    # This number is not deterministic
    # is a way to generate a random UUID (Universally Unique Identifier) 
    # in Python and then retrieve it as a hexadecimal string.
    bucket_name = f"aws-glue-assets-{unique_id}-{account_id}-{region}"
    create_s3_bucket(bucket_name)
    verify_bucket_ownership(bucket_name, account_id)

检测

[X] 自动

安全审核可以通过分析资源名称的可预测性来检测这种气味。

寻找攻击者可以轻松预测或猜测的名称模式。

许多自动化工具和手动代码审查可以帮助识别这些风险。

等级

[X] 中级

人工智能一代

人工智能生成器可以使用具有可预测命名模式的标准模板来创建这种气味。

始终自定义和检查生成的代码以确保安全。

人工智能检测

如果配置了识别可预测或不安全资源命名约定的规则，人工智能可以帮助检测这种气味。

这是一个安全风险，需要了解云基础设施和潜在的攻击媒介。

结论

避免可预测的命名模式对于保护云资源至关重要。

始终使用独特、晦涩、难以猜测的名称，并验证资源所有权以防止抢注攻击。

关系

代码气味 120 - 顺序 ID

马克西·康泰里・ 22 年 3 月 10 日

免责声明

代码味道是我的观点。

制作人员

照片由 Felix Koutchinski 在 Unsplash 上拍摄

唯一真正安全的系统是关闭并拔掉插头的系统，锁在钛衬里的保险箱中，埋在混凝土掩体中，周围是神经毒气和高薪武装警卫。即便如此，我也不会赌上自己的生命。

吉恩·斯帕福德

软件工程精彩名言

马克西·孔蒂耶里・ 2020 年 12 月 28 日

#codenewbie ＃编程＃引号＃软件

本文是 CodeSmell 系列的一部分。

如何查找代码中的臭部分

马克西·孔蒂耶里・ 21 年 5 月 21 日

#codenewbie ＃教程 #代码质量 #初学者

以上是代码气味 - 蹲着的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

如何使用Python查找文本文件的ZIPF分布Mar 05, 2025 am 09:58 AM

本教程演示如何使用Python处理Zipf定律这一统计概念，并展示Python在处理该定律时读取和排序大型文本文件的效率。您可能想知道Zipf分布这个术语是什么意思。要理解这个术语，我们首先需要定义Zipf定律。别担心，我会尽量简化说明。 Zipf定律 Zipf定律简单来说就是：在一个大型自然语言语料库中，最频繁出现的词的出现频率大约是第二频繁词的两倍，是第三频繁词的三倍，是第四频繁词的四倍，以此类推。让我们来看一个例子。如果您查看美国英语的Brown语料库，您会注意到最频繁出现的词是“th

我如何使用美丽的汤来解析HTML？Mar 10, 2025 pm 06:54 PM

本文解释了如何使用美丽的汤库来解析html。它详细介绍了常见方法，例如find（），find_all（），select（）和get_text（），以用于数据提取，处理不同的HTML结构和错误以及替代方案（SEL）

python中的图像过滤Mar 03, 2025 am 09:44 AM

处理嘈杂的图像是一个常见的问题，尤其是手机或低分辨率摄像头照片。本教程使用OpenCV探索Python中的图像过滤技术来解决此问题。图像过滤：功能强大的工具图像过滤器

如何使用TensorFlow或Pytorch进行深度学习？Mar 10, 2025 pm 06:52 PM

本文比较了Tensorflow和Pytorch的深度学习。它详细介绍了所涉及的步骤：数据准备，模型构建，培训，评估和部署。框架之间的关键差异，特别是关于计算刻度的

Python中的平行和并发编程简介Mar 03, 2025 am 10:32 AM

Python是数据科学和处理的最爱，为高性能计算提供了丰富的生态系统。但是，Python中的并行编程提出了独特的挑战。本教程探讨了这些挑战，重点是全球解释

如何在Python中实现自己的数据结构Mar 03, 2025 am 09:28 AM

本教程演示了在Python 3中创建自定义管道数据结构，利用类和操作员超载以增强功能。管道的灵活性在于它能够将一系列函数应用于数据集的能力，GE

python对象的序列化和避难所化：第1部分Mar 08, 2025 am 09:39 AM

Python 对象的序列化和反序列化是任何非平凡程序的关键方面。如果您将某些内容保存到 Python 文件中，如果您读取配置文件，或者如果您响应 HTTP 请求，您都会进行对象序列化和反序列化。从某种意义上说，序列化和反序列化是世界上最无聊的事情。谁会在乎所有这些格式和协议？您想持久化或流式传输一些 Python 对象，并在以后完整地取回它们。这是一种在概念层面上看待世界的好方法。但是，在实际层面上，您选择的序列化方案、格式或协议可能会决定程序运行的速度、安全性、维护状态的自由度以及与其他系

Python中的数学模块：统计Mar 09, 2025 am 11:40 AM

Python的statistics模块提供强大的数据统计分析功能，帮助我们快速理解数据整体特征，例如生物统计学和商业分析等领域。无需逐个查看数据点，只需查看均值或方差等统计量，即可发现原始数据中可能被忽略的趋势和特征，并更轻松、有效地比较大型数据集。本教程将介绍如何计算平均值和衡量数据集的离散程度。除非另有说明，本模块中的所有函数都支持使用mean()函数计算平均值，而非简单的求和平均。也可使用浮点数。 import random import statistics from fracti

See all articles