基于Python网站应用的代码评审

　　基于Python网站应用的代码评审，最近我们的一个测试问是否有针对Python代码的静态分析工具。他正在评审一个用python编写的网站应用，试图找出其中是否有高风险的问题。我不确定是否有方便使用并专注于python代码安全性的分析工具，因为大多数可用的工具都是专注于语法编译而不是安全性，也有一些专注于安全性的工具，如Fortity,非常昂贵。不过，我可以给他一个高风险问题的列表，这些问题都可以通过人工评审很容易地被发现。通过这份列表可以让他检查出很多我们标准网站应用检查表中的高风险问题。

SQL注入

查找所有含有SQL查询的文件，你要找到使用和下面语法类似的查询语句：

stmt="SELECT*FROMtableWHEREid=?"connection.execute(stmt,(value,))

这意味着应用程序是使用参数化的查询。你不能找到以下任何一个的查询：

"SELECT*FROMtableWHEREid="+value

"SELECT*FROMtableWHEREid=%s"%value

"SELECT*FROMtableWHEREid={0}".format(value)

如果没有其他合适的处理这些都会导致SQL注入，最好还是使用参数化的形式。

命令注入

查找所有含有导入OS模块的文件。仔细检查这些文件确保没有不可接受的用户输入传递给os.popen*,os.spawn*,os.fork,os.system,或者os.exec*。同时也要检查任何popen2模块和commands模块的调用。记住，除了os.exec*和os.spawn*，以上其他的方法和模块都不赞成使用，从Python2.6开始使用subprocess模块。任何还在使用这些方法或者包的应用都应修改为使用subprocess模块。虽然不反对，还是建议使用subprocess替换os.spawn*。

查找含有导入subprocess模块的文件，确保没有不可接受的用户输入传递给保重的任何方法。默认情况下所有的subprocess方法会将shell参数设定为False,以防止shell特殊字符被解释。这可以防止典型的命令注入攻击。如果需要将shell参数设置为True，那么根据你的python版本使用pipes.quete()和shlex.quote()函数先审查用户输入。

不能有以下调用方式:

subprocess.call("cat"+user_input,shell=True)

subprocess.call("cat%s"%user_input,shell=True)

subprocess.call("cat{0}".format(user_input),shell=True)

如果shell=True是必须的那么请这样调用：

subprocess.call("cat"+pipes.quote(user_input),shell=True)

subprocess.call("cat%s"%pipes.quote(user_input),shell=True)

subprocess.call("cat{0}".format(pipes.quote(user_input)),shell=True)

如果shell=True不是必须的那么这样的调用已经足够，但是我还是建议对用户输入信息进行检查:

subprocess.call("cat"+user_input)

subprocess.call("cat%s"%user_input)

subprocess.call("cat{0}".format(user_input))

目录穿越漏洞

查找使用open()语句或者调用os.fdopen()方法的文件，确保没有不可接受用户输入传递给这些方法。

避免出现如下形式的调用:

open(user_input)

os.fdopen(user_input)

跨站脚本

这个程序没有使用模板语言，因此需要在所有文件中查找使用cgi模块的文件，确保所有用户提供的输入都会使用cgi.escape()写回浏览器。cgi.escape()会将<,>,和&替换成HTML中的对应的符号。cgi.escape()的第一个参数是需要转换的字符串。第二个参数默认值为False,可以用来判断是否将双引号也进行转换。如果用户输入将在内部属性中使用，那么双引号也应该被转换。

CGI脚本使用简单的打印语句来创建从网站服务器返回给网页浏览器的页面。如下形式的调用应当避免:

print(user_input)

应当使用下面的：

print(cgi.escape(user_input))

两者间的差异可以在下面的例子中清除的看到：异常处理

审查应用程序，确保适当的异常处理和日志记录。具体地说，寻找try/except子句，并确保捕获的异常记录在日志中和得到适当的处理。在Python中一个常见的模式是使用如下所示的try/except子句:

这种模式捕获所有的异常，并简单地忽略它们，而不是记录和处理它们。一个更合适的模式应该是这样的:

思考

在这种特殊的情况下，用python写Web应用没有使用框架（框架常常可以保护开发者避免犯上面提到的最基本的错误）。如果你要写一个基于Python的web应用，我建议你使用一个好的框架，像Flask,CherryPy，Web2P或者Django。使用框架不能保证你不会遇到这些基本的问题带来的麻烦，但如果使用恰当，可以防止大多数问题的发生。

另一件事要记住，上面列出一些安全问题及其修复建议并不局限于Web应用。在生产环境中使用的任何Python脚本都应该检查这些问题。

　　Python培训、Python培训班、Python培训机构，就选光环大数据！

　　还不够过瘾？想学习更多？点击 http://hadoop.aura.cn/python/ 进行Python学习！

大数据培训、人工智能培训、Python培训、大数据培训机构、大数据培训班、数据分析培训、大数据可视化培训，就选光环大数据！光环大数据，聘请专业的大数据领域知名讲师，确保教学的整体质量与教学水准。讲师团及时掌握时代潮流技术，将前沿技能融入教学中，确保学生所学知识顺应时代所需。通过深入浅出、通俗易懂的教学方式，指导学生更快的掌握技能知识，成就上万个高薪就业学子。 更多问题咨询，欢迎点击------>>>>在线客服！