Python已經(jīng)成為全球最受歡迎的編程語(yǔ)言之一。原因當(dāng)然是Python簡(jiǎn)明易用的腳本語(yǔ)法，只需把一段程序放入.py文件中，就能快速運(yùn)行。

　　而且Python語(yǔ)言很容易上手模塊。比如你編寫(xiě)了一個(gè)模塊my_lib.py，只需在調(diào)用這個(gè)模塊的程序中加入一行import my_lib即可。

　　這樣設(shè)計(jì)的好處是，初學(xué)者能夠非常方便地執(zhí)行命令。但是對(duì)攻擊者來(lái)說(shuō)，這等于是為惡意程序大開(kāi)后門(mén)。

　　尤其是一些初學(xué)者將網(wǎng)上的Python軟件包、代碼下載的到本地~/Downloads文件夾后，就直接在此路徑下運(yùn)行python命令，這樣做會(huì)給電腦帶來(lái)極大的隱患。

　　別再圖方便了

　　為何這樣做會(huì)有危險(xiǎn)?首先，我們要了解Python程序安全運(yùn)行需要滿足的三個(gè)條件：

　　系統(tǒng)路徑上的每個(gè)條目都處于安全的位置;

　　“主腳本”所在的目錄始終位于系統(tǒng)路徑中;

　　若python命令使用-c和-m選項(xiàng)，調(diào)用程序的目錄也必須是安全的。

　　如果你運(yùn)行的是正確安裝的Python，那么Python安裝目錄和virtualenv之外唯一會(huì)自動(dòng)添加到系統(tǒng)路徑的位置，就是當(dāng)前主程序的安裝目錄。

　　這就是安全隱患的來(lái)源，下面用一個(gè)實(shí)例告訴你為什么。

　　如果你把pip安裝在/usr/bin文件夾下，并運(yùn)行pip命令。由于/usr/bin是系統(tǒng)路徑，因此這是一個(gè)非常安全的地方。

　　但是，有些人并不喜歡直接使用pip，而是更喜歡調(diào)用/path/to/python -m pip。

　　這樣做的好處是可以避免環(huán)境變量$PATH設(shè)置的復(fù)雜性，而且對(duì)于Windows用戶來(lái)說(shuō)，也可以避免處理安裝各種exe腳本和文檔。

　　所以問(wèn)題就來(lái)了，如果你的下載文件中有一個(gè)叫做pip.py的文件，那么你將它將取代系統(tǒng)自帶的pip，接管你的程序。

　　下載文件夾并不安全

　　比如你不是從PyPI，而是直接從網(wǎng)上直接下載了一個(gè)Python wheel文件。你很自然地輸入以下命令來(lái)安裝它：

　　這似乎是一件很合理的事情。但你不知道的是，這么操作很有可能訪問(wèn)帶有XSS JavaScript的站點(diǎn)，并將帶有惡意軟件的的pip.py到下載文件夾中。

　　下面是一個(gè)惡意攻擊軟件的演示實(shí)例：

　　看到了嗎?這段代碼生成了一個(gè)pip.py，并且代替系統(tǒng)的pip接管了程序。

　　設(shè)置$PYTHONPATH也不安全

　　前面已經(jīng)說(shuō)過(guò)，Python只會(huì)調(diào)用系統(tǒng)路徑、virtualenv虛擬環(huán)境路徑以及當(dāng)前主程序路徑 你也許會(huì)說(shuō)，那我手動(dòng)設(shè)置一下 $PYTHONPATH 環(huán)境變量，不把當(dāng)前目錄放在環(huán)境變量里，這樣不就安全了嗎?

　　非也!不幸的是，你可能會(huì)遭遇另一種攻擊方式。下面讓我們模擬一個(gè)“脆弱的”Python程序：

　　然后創(chuàng)建2個(gè)目錄：install_dir和attacker_dir。將上面的程序放在install_dir中。然后cd attacker_dir將復(fù)雜的惡意軟件放在這里，并把它的名字改成tool.py調(diào)用的optional_extra模塊：

　　我們運(yùn)行一下它：

　　到這里還很好，沒(méi)有出現(xiàn)任何問(wèn)題。

　　但是這個(gè)習(xí)慣用法有一個(gè)嚴(yán)重的缺陷：第一次調(diào)用它時(shí)，如果$PYTHONPATH以前是空的或者未設(shè)置，那么它會(huì)包含一個(gè)空字符串，該字符串被解析為當(dāng)前目錄。

　　讓我們?cè)賴L試一下：

　　看到了嗎?惡意腳本接管了程序。

　　為了安全起見(jiàn)，你可能會(huì)認(rèn)為，清空$PYTHONPATH總該沒(méi)問(wèn)題了吧?Naive!還是不安全!

　　這里發(fā)生的事情是，$PYTHONPATH變成空的了，這和unset是不一樣的。

　　因?yàn)樵赑ython里，os.environ.get(“PYTHONPATH”) == “”和os.environ.get(“PYTHONPATH”) == None是不一樣的。

　　如果要確保$PYTHONPATH已從shell中清除，則需要使用unset命令處理一遍，然后就正常了。

　　設(shè)置PYTHONPATH曾經(jīng)是設(shè)置Python開(kāi)發(fā)環(huán)境的最常用方法。但你以后最好別再用它了，virtualenv可以更好地滿足開(kāi)發(fā)者需求。如果你過(guò)去設(shè)置了一個(gè)PYTHONPATH，現(xiàn)在是很好的機(jī)會(huì)，把它刪除了吧。

　　如果你確實(shí)需要在shell中使用PYTHONPATH，請(qǐng)用以下方法：

　　在bash和zsh中，$PYTHONPATH變量的值會(huì)變成：

　　如此便保證了環(huán)境變量$PYTHONPATH中沒(méi)有空格和多余的冒號(hào)。

　　如果你仍在使用$PYTHONPATH，請(qǐng)確保始終使用絕對(duì)路徑!

　　另外，在下載文件夾中直接運(yùn)行Jupyter Notebook也是一樣危險(xiǎn)的，比如jupyter notebook ~/Downloads/anything.ipynb也有可能將惡意程序引入到代碼中。

　　預(yù)防措施

　　最后總結(jié)一下要點(diǎn)。

　　如果要在下載文件夾~/Downloads中使用Python編寫(xiě)的工具，請(qǐng)養(yǎng)成良好習(xí)慣，使用pip所在路徑/path/to/venv/bin/pip，而不是輸入/path/to/venv/bin/python -m pip。避免將~/Downloads作為當(dāng)前工作目錄，并在啟動(dòng)之前將要使用的任何軟件移至更合適的位置。

　　了解Python從何處獲取執(zhí)行代碼非常重要。賦予其他人執(zhí)行任意Python命令的能力等同于賦予他對(duì)你電腦的完全控制權(quán)!