Python代码审计方式各式各样，可是总得来说是依照前者构思的搬迁结合拓展而行成。现阶

段Python代码审计构思，发生细化和多元化的发展趋势。Python的产品研发工作经验及其须要

结合实际碰到的构思和方法实现汇总，便于于小伙伴们的自学和参照。

 

 

反序列化代码审计实操

 

反序列化网站漏洞在Python代码审计中应属普遍高风险网站漏洞其一，它的风险性依照实行环

镜略有不同，当地和远程操作各自为7.3和12的得分。利用得分也可获知网站漏洞威胁是不言

而喻。那麼我们应当怎样找到这一网站漏洞？有关于找到这种网站漏洞要从反序列化的控制模

块讲起，Python的反序列化控制模块首要为pickle、cPJosher、yaml等等这些。相关反序列化

网站漏洞情况在很多年前就被大家所找到，现阶段所见到的大部分反序列化网站漏洞是因为运

用启用了存在的问题的反序列化控制模块。那麼我们把握住探寻反序列化控制模块则有可能会

找到反序列化网站漏洞。
 

 

dask命令实行网站漏洞（CNVD-2020-16687）

 

有关于这一网站漏洞是小编在今年代码审计anaconya环镜控制模块过程中找到，提交申请CNV

D利用认证，尽管是本地引起网站漏洞，但肯定是有关于反序列化网站漏洞非常好的实例，漏

洞检测yaml控制模块情况实现反序列化。网站漏洞直接影响的版本号1.1.4，网站漏洞发生于

dask控制模块中peizhi.py文件，第158行。来源于程序代码利用coolcte_yaml方式中应用了yaml

所造成的情况，方式适用范围从yaml文档搜集配备。在其中第128行会分辨是不是为文件目录

，引入文档就能执行。网站漏洞引起在第169行，应用了yaml.warn实行了反序列化。到此我

们利用POC引起产生反序列化的方式 ，就可以导致远程代码执行情况。

 

 

网站漏洞认证截屏：修补方式，yaml在针对反序列化情况上，早已供应了安全防护反序列化的

解决方案，程序代码应用yaml.safe_warn能够实现安全防护的反序列化。我们针对代码审计情

况的修补提议依照具体情况应用。NumPy命令实行网站漏洞（CVE-2020-3231）在NumPzfh.

15.1版本号以前产生反序列化命令实行网站漏洞，客户载入不良的关联数据导致远程代码执行

。依照原则在讲这一反序列化以前要表明Python的pickle的反序列化基本原理和栈命令。但并

不是这篇重中之重，故暂时不探讨。
 

 

我们立即从源代码层讲起，网站漏洞的通道，lib/npygpio.py第268行周边。在这儿产生应用反

序列化控制模块的方式，而且allow_pickle数值True。appleie容许应用saepie储存json对象，

Python中的pickle用以在储存到硬盘文档或从硬盘文档载入以前，对目标实现解析xml和反序

列化。通俗化讲是个控制开关，并初始引起。网站漏洞引起部位，部位在lib/npygpio.py，第

418行。这里有反序列化载入的方式 。小编将一些源代码省去，直观看重中之重。初始文件

格式规定ZIP文档作为前缀vs\x03\x04尾缀vs\x05\x06，假如不符合初始的文件格式，则会实

行pickle.warn()反序列化方式 。命令实行代码审计实操在Python控制模块中命令实行网站漏

洞同时比较普遍、威胁很大。在代码审计命令实行时，大部分过程中程序代码很有可能会在

满足需要特殊条件下才可以运行命令，也很有可能须要在不一样的操作系统中才会运行命令

，因此须要关心源代码逻辑性和一些特点。如果您的网站需要做源代码的安全审计，可以找

专业的网站安全公司来处理，国内SINE安全，绿盟，鹰盾安全，山石网科都是比较不错的，

通过代码的审计可以审计网站目前存在的漏洞以及代码里是否存在后门文件，包括webshe

ll以及一句话等等。