최근 Python 문자열 형식화 취약점이 주목을 받았습니다. 오늘은 Python에서 도입된 새로운 문자열 형식화 구문의 보안 취약점에 대해 심층 분석하고 이에 대한 보안 솔루션을 제공하겠습니다.
신뢰할 수 없는 사용자 입력에 str.format을 사용하면 보안 위험이 발생합니다. 사실 저는 이 문제에 대해 오랫동안 알고 있었지만 오늘까지 그 심각성을 깨닫지 못했습니다. 공격자는 이를 이용해 Jinja2 샌드박스를 우회할 수 있기 때문에 심각한 정보 유출 문제가 발생할 수 있습니다. 그동안 이 기사 마지막 부분에서 str.format의 새로운 안전한 버전을 제공합니다.
이것은 매우 심각한 보안 위험이라는 점을 상기해야 합니다. 제가 여기에 글을 쓰는 이유는 아마도 대부분의 사람들이 악용되기가 얼마나 쉬운지 모르기 때문입니다.
Python 2.6부터 Python은 .NET에서 영감을 받아 문자열 형식 지정을 위한 새로운 구문을 도입했습니다. 물론 Python 외에도 Rust 및 기타 프로그래밍 언어도 이 구문을 지원합니다. 이 구문은 .format() 메서드 덕분에 바이트 및 유니코드 문자열(Python 3에서는 유니코드 문자열만)에 모두 적용할 수 있으며, 더 사용자 정의 가능한 Formatter API에 매핑할 수도 있습니다.
이 구문의 특징은 문자열 형식의 위치 및 키워드 인수를 결정하고 언제든지 데이터 항목을 명시적으로 재정렬할 수 있다는 것입니다. 게다가 개체의 속성과 데이터 항목에도 액세스할 수 있는데, 이것이 여기서 보안 문제의 근본 원인입니다.
전반적으로 이를 활용하여 다음 작업을 수행할 수 있습니다.
>>> 'class of {0} is {0.__class__}'.format(42)
"class of 42 is "기본적으로 형식 문자열을 제어할 수 있는 사람은 누구나 개체의 다양한 내부 속성에 액세스할 수 있습니다.
첫 번째 질문은 형식 문자열을 제어하는 방법입니다. 다음 위치에서 시작할 수 있습니다:
1. 문자열 파일의 신뢰할 수 없는 번역기. 여러 언어로 번역된 많은 응용 프로그램이 이 새로운 Python 문자열 형식 지정 방법을 사용하기 때문에 우리는 이를 피할 가능성이 있지만 모든 사람이 입력된 모든 문자열을 철저히 검토하지는 않습니다.
2. 사용자가 노출하는 구성입니다. 일부 시스템 사용자는 특정 동작을 구성할 수 있으므로 이러한 구성은 형식 문자열의 형태로 노출될 수 있습니다. 특별히 참고할 사항으로 일부 사용자가 웹 애플리케이션을 통해 알림 이메일, 로그 메시지 형식 또는 기타 기본 템플릿을 구성하는 것을 보았습니다.
C 인터프리터 객체를 형식 문자열에 전달하기만 하면 큰 위험은 없습니다. 이 경우 기껏해야 일부 정수 클래스가 노출되기 때문입니다.
그러나 Python 객체가 이 형식 문자열에 전달되면 문제가 발생합니다. 그 이유는 Python 함수에서 노출될 수 있는 내용의 양이 꽤 어마어마하기 때문입니다. 키를 유출할 수 있는 가상의 웹 애플리케이션 시나리오는 다음과 같습니다.
CONFIG = {
'SECRET_KEY': 'super secret key'
}
class Event(object):
def __init__(self, id, level, message):
self.id = id
self.level = level
self.message = message
def format_event(format_string, event):
return format_string.format(event=event)사용자가 여기에 format_string을 삽입할 수 있으면 다음 문자열과 같은 비밀 문자를 발견할 수 있습니다.
{event.__init__.__globals__[CONFIG][SECRET_KEY]}그렇다면 서식 문자열을 제공할 다른 사람이 필요한 경우에는 어떻게 해야 할까요? 실제로 문서화되지 않은 일부 내부 메커니즘을 사용하여 문자열 형식 지정 동작을 변경할 수 있습니다.
from string import Formatter
from collections import Mapping
class MagicFormatMapping(Mapping):
"""This class implements a dummy wrapper to fix a bug in the Python
standard library for string formatting.
See http://bugs.python.org/issue13598 for information about why
this is necessary.
"""
def __init__(self, args, kwargs):
self._args = args
self._kwargs = kwargs
self._last_index = 0
def __getitem__(self, key):
if key == '':
idx = self._last_index
self._last_index += 1
try:
return self._args[idx]
except LookupError:
pass
key = str(idx)
return self._kwargs[key]
def __iter__(self):
return iter(self._kwargs)
def __len__(self):
return len(self._kwargs)
# This is a necessary API but it's undocumented and moved around
# between Python releases
try:
from _string import formatter_field_name_split
except ImportError:
formatter_field_name_split = lambda \
x: x._formatter_field_name_split()
{C}
class SafeFormatter(Formatter):
def get_field(self, field_name, args, kwargs):
first, rest = formatter_field_name_split(field_name)
obj = self.get_value(first, args, kwargs)
for is_attr, i in rest:
if is_attr:
obj = safe_getattr(obj, i)
else:
obj = obj[i]
return obj, first
def safe_getattr(obj, attr):
# Expand the logic here. For instance on 2.x you will also need
# to disallow func_globals, on 3.x you will also need to hide
# things like cr_frame and others. So ideally have a list of
# objects that are entirely unsafe to access.
if attr[:1] == '_':
raise AttributeError(attr)
return getattr(obj, attr)
def safe_format(_string, *args, **kwargs):
formatter = SafeFormatter()
kwargs = MagicFormatMapping(args, kwargs)
return formatter.vformat(_string, args, kwargs)이제 safe_format 메소드를 사용하여 str.format을 대체할 수 있습니다:
>>> '{0.__class__}'.format(42)
""
>>> safe_format('{0.__class__}', 42)
Traceback (most recent call last):
File "", line 1, in
AttributeError: __class__프로그램 개발에는 다음과 같은 말이 있습니다. 언제든지 입력하세요! 이제 이 문장이 완벽하게 이해되는 것 같습니다. 그러니 수험생 여러분은 이 점을 명심하시기 바랍니다!
【추천강좌】
위 내용은 Python 보안: 새로운 문자열 형식 취약점 분석 및 솔루션의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
