Истраживачи са Универзитета у Турку (Финска) обзнанио недавно резултате анализе учинили су са пакетима у спремишту би ПиПИ за употребу потенцијално опасних конструкција које би могле генерисати рањивости. У анализи да изведено је око 197.000 пакета и идентификовано 749.000 могућих безбедносних проблема.
Другим речима, 46% пакета има бар један од ових проблема, од којих су међу најчешћим проблемима они који се односе на руковање изузецима и коришћење могућности замене кода.
Од идентификованих 749 хиљада проблема, 442 хиљаде (41%) означено је као малолетно, 227 хиљада (30%) као умерено опасних и 80 хиљада (11%) као опасних.
Скуп података се заснива на снимку свих пакета ускладиштених у Питхон Пацкаге Индек (ПиПИ) ...
У погледу врста проблема, попут обраде изузетака и различитих ињекција кода, били су најчешћи проблеми. У том смислу, модул нити се истиче. Размишљајући о генерално малим величинама пакета, метрике величине софтвера не предвиђају добро број проблема откривених анализом.
Неки пакети су необични и садрже хиљаде проблема: На пример, 2589 проблема је пронађено у пакету ПиГГИ, углавном везано за употребу конструкције "покушај-осим-пролаза", а 2356 проблема је пронађено у пакету аппенгине-сдк. Такође постоји много проблема у пакетима гение.либс.опс, пбцоре и гение.либс.парсер.
Треба напоменути да су резултати добијени на основу аутоматизоване статичке анализе, која не узима у обзир контекст примене одређених структура.
Предложио је програмер Бандит, који је коришћен за скенирање кода да је због великог броја лажно позитивних резултата, лрезултати скенирања не могу се сматрати рањивостима директно без додатног ручног прегледа сваког проблема.
На пример, парсер разматра употребу непоузданих генератора случајних бројева и алгоритама хеширања попут МД5 као безбедносни проблем, док се у коду такви алгоритми могу користити у сврхе које не утичу на безбедност.
Анализатор такође сматра да се врши спољна обрада података у небезбедним функцијама као што су пицкле, иамл.лоад, субпроцесс и евал то је проблем, али ова употреба није нужно повезана са рањивошћу и, у ствари, употреба ових функција може представљати проблем који се спроводи без претње по безбедност.
Међу контролама које су коришћене у студији:
- Коришћење потенцијално небезбедних функција екец, мктемп, евал, марк_сафе итд.
- Несигурна конфигурација права приступа датотекама.
- Повежите мрежни утикач са свим мрежним интерфејсима.
- Употреба лозинки и шифрованих кључева.
- Коришћење унапред дефинисаног привременог директоријума.
- Коришћење пасс и цонтинуе у руковатељима изузетака у свеобухватном стилу.
- Покретање веб апликација заснованих на Фласк веб оквиру са омогућеним начином отклањања грешака.
- Коришћење несигурних метода за десеријализацију података.
- Коришћење МД2, МД4, МД5 и СХА1 хасх функција.
- Употреба несигурних ДЕС шифри и начина шифровања.
- Коришћење несигурне имплементације ХТТПСЦоннецтион у неким верзијама Питхона.
- Одређивање датотеке: // схема у урлопен.
- Приликом извођења криптографских задатака користите генераторе псеудо-случајних бројева.
- Коришћење Телнет протокола.
- Коришћење несигурних КСМЛ парсера.
Осим тога, спомиње се откривање 8 злонамерних пакета у директорију ПиПИ. Проблемски пакети су преузети више од 30 пута пре него што су уклоњени. Да бисмо сакрили злонамерне активности и избегли једноставна упозорења статичког парсера на пакетима, користили смо блок кодирање са кодом у формату Басе64 и извршили његово извршавање након декодирања позивом евал.
Код који се налази у пакетима ноблессе, генесисбот, јесу, суфф, ноблессе2 и ноблессев2 за пресретање бројева кредитних картица и лозинки ускладиштених у прегледачима Цхроме и Едге, као и за пренос токена налога из апликације Дисцорд и слање података из система, укључујући и снимке екрана екранског садржаја. ... Пакети питагора и питагора2 укључивали су могућност преузимања и покретања извршног кода треће стране.
Коначно ако сте заинтересовани да сазнате више о томе, можете проверити детаље У следећем линку.