代码气味 - 蹲着-Python教程-PHP中文网

首页

后端开发

Python教程

代码气味 - 蹲着

PHPz

Aug 14, 2024 am 10:38 AM

不要提前在关键任务资源上使用可猜测的名称

TL;DR：通过避免可预测的命名模式来保护您的云资源。

问题

可预测的名字
未经授权的访问
数据暴露风险
影子资源
帐户接管
Idor 漏洞
过早优化

解决方案

使用带有暗键的唯一存储桶名称
验证创建的所有权
充分保障资源
使用间接混淆真实姓名
书名防止抢注
随机名称

语境

当攻击者预见到云资源（例如 S3 存储桶）的命名模式时，就会发生资源抢占。

攻击者在用户尚未尚未部署资源的区域创建它们。

用户与这些攻击者拥有的资源的交互可能会导致严重的安全漏洞，例如数据泄露、未经授权的访问或帐户接管。

此漏洞在 AWS 等经常使用可预测命名约定的环境中非常严重。

许多系统避免这种间接方式，担心性能损失，这是过早优化的明显例子。

示例代码

错误的

def create_bucket(account_id, region):
    bucket_name = f"aws-glue-assets-{account_id}-{region}"
    create_s3_bucket(bucket_name)  
   # This is deterministic and open

正确的

import uuid

def create_bucket(account_id, region):
    unique_id = uuid.uuid4().hex
    # This number is not deterministic
    # is a way to generate a random UUID (Universally Unique Identifier) 
    # in Python and then retrieve it as a hexadecimal string.
    bucket_name = f"aws-glue-assets-{unique_id}-{account_id}-{region}"
    create_s3_bucket(bucket_name)
    verify_bucket_ownership(bucket_name, account_id)

检测

[X] 自动

安全审核可以通过分析资源名称的可预测性来检测这种气味。

寻找攻击者可以轻松预测或猜测的名称模式。

许多自动化工具和手动代码审查可以帮助识别这些风险。

等级

[X] 中级

人工智能一代

人工智能生成器可以使用具有可预测命名模式的标准模板来创建这种气味。

始终自定义和检查生成的代码以确保安全。

人工智能检测

如果配置了识别可预测或不安全资源命名约定的规则，人工智能可以帮助检测这种气味。

这是一个安全风险，需要了解云基础设施和潜在的攻击媒介。

结论

避免可预测的命名模式对于保护云资源至关重要。

始终使用独特、晦涩、难以猜测的名称，并验证资源所有权以防止抢注攻击。

关系

代码气味 120 - 顺序 ID

马克西·康泰里・ 22 年 3 月 10 日

免责声明

代码味道是我的观点。

制作人员

照片由 Felix Koutchinski 在 Unsplash 上拍摄

唯一真正安全的系统是关闭并拔掉插头的系统，锁在钛衬里的保险箱中，埋在混凝土掩体中，周围是神经毒气和高薪武装警卫。即便如此，我也不会赌上自己的生命。

吉恩·斯帕福德

软件工程精彩名言

马克西·孔蒂耶里・ 2020 年 12 月 28 日

#codenewbie ＃编程＃引号＃软件

本文是 CodeSmell 系列的一部分。

如何查找代码中的臭部分

马克西·孔蒂耶里・ 21 年 5 月 21 日

#codenewbie ＃教程 #代码质量 #初学者

以上是代码气味 - 蹲着的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

python中两个列表的串联替代方案是什么？May 09, 2025 am 12:16 AM

可以使用多种方法在Python中连接两个列表：1.使用操作符，简单但在大列表中效率低；2.使用extend方法，效率高但会修改原列表；3.使用 =操作符，兼具效率和可读性；4.使用itertools.chain函数，内存效率高但需额外导入；5.使用列表解析，优雅但可能过于复杂。选择方法应根据代码上下文和需求。

Python：合并两个列表的有效方法May 09, 2025 am 12:15 AM

有多种方法可以合并Python列表：1.使用操作符，简单但对大列表不内存高效；2.使用extend方法，内存高效但会修改原列表；3.使用itertools.chain，适用于大数据集；4.使用*操作符，一行代码合并小到中型列表；5.使用numpy.concatenate，适用于大数据集和性能要求高的场景；6.使用append方法，适用于小列表但效率低。选择方法时需考虑列表大小和应用场景。

编译的与解释的语言：优点和缺点May 09, 2025 am 12:06 AM

CompiledLanguagesOffersPeedAndSecurity，而interneterpretledlanguages provideeaseafuseanDoctability.1）commiledlanguageslikec arefasterandSecureButhOnderDevevelmendeclementCyclesclesclesclesclesclesclesclesclesclesclesclesclesclesclesclesclesclesandentency.2）cransportedeplatectentysenty

Python：对于循环，最完整的指南May 09, 2025 am 12:05 AM

Python中，for循环用于遍历可迭代对象，while循环用于条件满足时重复执行操作。1）for循环示例：遍历列表并打印元素。2）while循环示例：猜数字游戏，直到猜对为止。掌握循环原理和优化技巧可提高代码效率和可靠性。

python concatenate列表到一个字符串中May 09, 2025 am 12:02 AM

要将列表连接成字符串，Python中使用join()方法是最佳选择。1)使用join()方法将列表元素连接成字符串，如''.join(my_list)。2)对于包含数字的列表，先用map(str,numbers)转换为字符串再连接。3)可以使用生成器表达式进行复杂格式化，如','.join(f'({fruit})'forfruitinfruits)。4)处理混合数据类型时，使用map(str,mixed_list)确保所有元素可转换为字符串。5)对于大型列表，使用''.join(large_li

Python的混合方法：编译和解释合并May 08, 2025 am 12:16 AM

pythonuseshybridapprace，ComminingCompilationTobyTecoDeAndInterpretation.1）codeiscompiledtoplatform-Indepententbybytecode.2）bytecodeisisterpretedbybythepbybythepythonvirtualmachine，增强效率和通用性。

了解python的' for”和' then”循环之间的差异May 08, 2025 am 12:11 AM

theKeyDifferencesBetnewpython's“ for”和“ for”和“ loopsare：1）” for“ loopsareIdealForiteringSequenceSquencesSorkNowniterations，而2）”，而“ loopsareBetterforConterContinuingUntilacTientInditionIntionismetismetistismetistwithOutpredefinedInedIterations.un