तुर्कू विश्वविद्यालय के शोधकर्ता (फिनलैंड) समझा दिया हाल ही में एक विश्लेषण के परिणाम उन्होंने भंडार में संकुल के लिए किया द्वारा पीईपीआई संभावित खतरनाक निर्माणों के उपयोग के लिए जो कमजोरियां उत्पन्न कर सकते हैं। विश्लेषण में कि लगभग 197.000 पैकेज किए गए और 749.000 संभावित सुरक्षा समस्याओं की पहचान की गई।
दूसरे शब्दों में, 46% पैकेजों में इनमें से कम से कम एक समस्या है, जिनमें से सबसे आम समस्याएं हैं जो अपवादों को संभालने और कोड प्रतिस्थापन क्षमताओं के उपयोग से संबंधित हैं।
पहचानी गई 749 हजार समस्याओं में से 442 हजार (41%) को अवयस्क के रूप में चिह्नित किया गया, 227 हजार (30%) मामूली रूप से खतरनाक और 80 हजार (11%) खतरनाक के रूप में।
डेटासेट पायथन पैकेज इंडेक्स (PyPI) में संग्रहीत सभी पैकेजों के स्नैपशॉट पर आधारित है ...
समस्याओं के प्रकार के संदर्भ में, जैसे अपवाद हैंडलिंग और विभिन्न कोड इंजेक्शन सबसे आम समस्याएं रही हैं। इस अर्थ में, थ्रेड्स मॉड्यूल बाहर खड़ा है। आम तौर पर छोटे पैकेट आकारों पर विचार करते हुए, सॉफ्टवेयर आकार मेट्रिक्स विश्लेषण के माध्यम से सामने आए मुद्दों की संख्या का अच्छी तरह से अनुमान नहीं लगाते हैं।
कुछ पैकेज सामान्य से हटकर होते हैं और उनमें हजारों समस्याएं होती हैं: उदाहरण के लिए, PyGGI पैकेज में 2589 समस्याएं पाई गईं, जो मुख्य रूप से "कोशिश-छोड़कर-पास" निर्माण के उपयोग से संबंधित थीं, और 2356 समस्याएं एपेंगिन-एसडीके पैकेज में पाई गईं। genie.libs.ops, pbcore, और genie.libs.parser संकुल में भी बहुत सारी समस्याएं हैं।
यह ध्यान दिया जाना चाहिए कि परिणाम एक स्वचालित स्थैतिक विश्लेषण के आधार पर प्राप्त किए गए थे, जो कुछ संरचनाओं के आवेदन के संदर्भ को ध्यान में नहीं रखता है।
बैंडिट डेवलपर, जिसका उपयोग कोड को स्कैन करने के लिए किया गया था, ने सुझाव दिया कि बड़ी संख्या में झूठी सकारात्मकता के कारण, lस्कैन परिणामों को भेद्यता नहीं माना जा सकता है सीधे प्रत्येक समस्या की अतिरिक्त मैन्युअल समीक्षा के बिना।
उदाहरण के लिए, पार्सर अविश्वसनीय यादृच्छिक संख्या जनरेटर और एमडी 5 जैसे हैशिंग एल्गोरिदम के उपयोग को सुरक्षा समस्या के रूप में मानता है, जबकि कोड में ऐसे एल्गोरिदम का उपयोग उन उद्देश्यों के लिए किया जा सकता है जो सुरक्षा को प्रभावित नहीं करते हैं।
विश्लेषक यह भी मानता है कि कोई भी बाहरी डेटा प्रोसेसिंग अचार, yaml.load, सबप्रोसेस और eval जैसे असुरक्षित कार्यों में यह एक समस्या है, लेकिन यह उपयोग आवश्यक रूप से एक भेद्यता से जुड़ा नहीं है और वास्तव में, इन कार्यों का उपयोग सुरक्षा खतरे के बिना लागू की गई समस्या हो सकती है।
अध्ययन में प्रयुक्त नियंत्रणों में से:
- संभावित असुरक्षित कार्यों का उपयोग निष्पादन, mktemp, eval, mark_safe, आदि।
- फ़ाइल एक्सेस अधिकारों का असुरक्षित कॉन्फ़िगरेशन।
- नेटवर्क प्लग को सभी नेटवर्क इंटरफेस से कनेक्ट करें।
- पासवर्ड और एन्क्रिप्टेड कुंजियों का उपयोग।
- पूर्वनिर्धारित अस्थायी निर्देशिका का उपयोग करना।
- कैच-ऑल-स्टाइल अपवाद हैंडलर में पास और जारी रखें का उपयोग करना।
- डिबगिंग मोड सक्षम के साथ फ्लास्क वेब फ्रेमवर्क पर आधारित वेब एप्लिकेशन लॉन्च करें।
- डेटा को डीसेरिएलाइज़ करने के लिए असुरक्षित तरीकों का इस्तेमाल करना.
- MD2, MD4, MD5 और SHA1 हैश फ़ंक्शन का उपयोग करना।
- असुरक्षित डेस सिफर और एन्क्रिप्शन मोड का उपयोग।
- पायथन के कुछ संस्करणों में असुरक्षित HTTPSConnection कार्यान्वयन का उपयोग करना।
- फ़ाइल निर्दिष्ट करना: // urlopen में स्कीमा।
- क्रिप्टोग्राफ़िक कार्य करते समय छद्म यादृच्छिक संख्या जनरेटर का उपयोग करें।
- टेलनेट प्रोटोकॉल का उपयोग करना।
- असुरक्षित एक्सएमएल पार्सर्स का उपयोग करना।
इसके अतिरिक्त, PyPI निर्देशिका में 8 दुर्भावनापूर्ण पैकेजों का पता लगाने का उल्लेख किया गया है। हटाए जाने से पहले समस्या पैकेज 30 से अधिक बार डाउनलोड किए गए थे। दुर्भावनापूर्ण गतिविधि को छिपाने के लिए और पैकेज पर साधारण स्थिर पार्सर चेतावनियों से बचने के लिए, हमने बेस 64 प्रारूप का उपयोग करके कोड के साथ ब्लॉक एन्कोडिंग का उपयोग किया और eval को कॉल करके डिकोडिंग के बाद इसके निष्पादन का मंचन किया।
नोबलसे, जेनेसिसबॉट में पाया गया कोड, क्रोम और एज ब्राउज़र में संग्रहीत क्रेडिट कार्ड नंबर और पासवर्ड को इंटरसेप्ट करने के लिए, सफ़, नोबलसे 2 और नोबलसेव 2 पैकेज हैं, साथ ही डिस्कॉर्ड एप्लिकेशन से अकाउंट टोकन ट्रांसफर करते हैं और सिस्टम से डेटा भेजते हैं, जिसमें स्क्रीनशॉट भी शामिल हैं। स्क्रीन सामग्री की। ... pytagora और pytagora2 संकुल में तृतीय-पक्ष निष्पादन योग्य कोड को डाउनलोड करने और चलाने की क्षमता शामिल है।
अंत में यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, आप विवरण की जांच कर सकते हैं निम्नलिखित लिंक में