這篇文章算是一個資安問題的討論文章,作者透過一系列的手法成功地獲取了大量使用者的電腦資訊,由於這次的實驗只是要證明資安問題,因此作者的程式只有獲取如 IP, Hostname 等簡單資訊,若是惡意的話是可以執行更多危險程式碼的。
作者開門見山表示,現在的程式語言有太多的豐富的第三方函式庫,譬如 NodeJs(NPM), Ruby(RubyGem), Python(PyPI),豐富的第三方實作讓開發者可以更快速的完成任務。
開發者在使用這些套件函式庫時,大部分情況都不會去檢查太多,而是直接信賴般的去使用這些函式庫,而這種盲點般的信任是否有可能讓攻擊者有跡可循?
作者基於這個想法進行了一系列研究,發現 PayPal 公開專案(NodeJs) 內的 package.json 內交互使用了公開與內部的 packages。 公開部分勢必來自 npm 而那些內部的應該是來自於 PayPal 內部系統,同時也注意到這些內部的 package name 目前於 npm 上也不存在。
針對這個情境,作者提出一些問題
1) 如果有人上傳跟 PayPal 內部 package 相同名稱的套件到 npm 服務器上,有沒有可能 PayPal 內部某些專案會預設使用 npm 上的套件而非內部自架的伺服器?
2) 開發者或是其他自動化系統有沒有可能運行這些 packages 內的程式碼,這樣有沒有機會造成一個漏洞的可能性?
3) 其他的公司是否也會有類似的問題?
為了證實這個問題,作者設計了一系列的實驗與準備來測試上述問題,譬如更有系統的去尋找這種有跡可循的 package.json(Tesla, Apple, Yelp 等公司都被到可以利用的 package names)。
作者將自己這系列的攻擊行為稱為 depdendency confusion 來呼應本文標題。
結果來看是令人非常震驚的,作者打造同名的npm的確被大量下載與執行,也讓作者收集到大量運行的內部服務器IP與名稱。
與 Apple 合作通報相關報告後, Apple 也於兩週內修復相關問題。
原文滿長的,非常推薦閱讀
我個人認為資安這概念就是不出問題不被重視,但是一但出問題可能造成的影響卻非常巨大的。團隊內每個人都要培養基本的資安理念,同時與相關的安全團隊合作逐漸地提高整個產品的安全性,永遠不要想一聲令下明天就可以反轉一切。
https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610
python 函式庫 下載 在 [心得] 加快pip 安裝重覆套件wheel/cache - 看板Python 的推薦與評價
很多人都會用虛擬環境(virtualenv 或內建的 venv)
來管理不同的專案中套件相依,但有些套件其實經常被使用的,
例如科學計算幾乎都要 numpy。它帶有 fortran、C 代碼,
還連結很多外部函數庫 MKL、LAPACK、ALTAS、BLAS、ARPACK,
有時裝好了也不確定是不是有正確連結到,十分費神。
或者像 ipython[all] 這樣的套件,裝起來可能也需要幾分鐘的時間。
底下算是幾個加速的方式:pip cache 以及 wheel 分享給大家。
TL;DR
設定環境變數
export PIP_USE_WHEEL=true
export PIP_WHEEL_DIR="$HOME/.pip/wheel"
export PIP_DOWNLOAD_CACHE="$HOME/.pip/cache"
export PIP_FIND_LINKS="file://$PIP_WHEEL_DIR"
用 pip wheel <pkg_name> 做自己的 wheel
裝套件就會先看 wheel_dir 有沒有做好的 .whl
再看 cache 有沒有曾經下載過
達到加速安裝(但還是需要網路連線)
Cache
-----
設定 export PIP_DOWNLOAD_CACHE="$HOME/.pip/cache"
把 PyPI 上找到的套件,下載在 cache 資料夾裡。
有新版本也會自動下載新的存著。
如果套件 release 就是用 wheel 格式的話也會存在 cache。
要注意 cache 檔名包含網址,有做 PyPI mirror 的話會存成不同檔案
Wheel
-----
算是目前推廣中的格式,不少套件都有採用了。
它是 binary release,所以少了安裝的過程會快很多,
針對 Python 版本、OSX/Win/Linux 32/64 製作專門的 .whl
Linux wheel 因目前規格不處理 distro 而很少能直接下載用,
像 CentOS/Debian 外部函式庫的位置都不一樣,因此
並不會在公開像 PyPI 上找到。
新版 pip 都會預設優先使用 wheel,沒有的話可以加上
export PIP_USE_WHEEL=true
細節請參考 TP 大大的投影片:
- We Buy Cheese in a Cheese Shop
https://speakerdeck.com/uranusjr/we-buy-cheese-in-a-cheese-shop
自己的 wheel 自己做!
"""""""""""""""""""""
如果今天開發環境是相似的(同台電腦、同樣設定的 VM)
就算套件沒有給 wheel 照樣可以自己做
設定下兩行之後可以少打很多參數,
export PIP_WHEEL_DIR="$HOME/.pip/wheel"
export PIP_FIND_LINKS="file://$PIP_WHEEL_DIR"
PIP_WHEEL_DIR 給定做好的 wheel 要存哪
PIP_FIND_LINKS 則是 pip install 會來這目錄看有無現成的
首先要裝 wheel 這個套件
pip install wheel
接著安裝好自己想要包 wheel 的套件,以 <pkg_name> 為例,
安裝好 <pkg_name> 之後
pip wheel <pkg_name>
就會做出 <pkg_name>-<ver>-xxx.whl 在 wheel_dir 中。
製作過程會把 source 下載下來,但這不是重新編譯的意思。
製作完成之後,未來便可選擇用這個 .whl 安裝 <pkg_name>
pip install <pkg_name>-<ver>-xxx.whl
在官網說明中,會看到這行
pip install --no-index --find-links=/local/wheels xxx.whl
--no-index 表示不給它看 PyPI 有沒有新版,並強迫在 find_links 的目錄裡找
有設在環境變數中的話就不用多下 --find-links 了
沒有 --no-index 時,檢查 PyPI 有新版的話就會忽略本地舊版的 .whl 及 cache
結論
----
設定好之後,你可以建立一個 wheel_list.txt 然後
cat wheel_list.txt | xargs pip wheel
把常用的 wheel 都建好自用、送 VM 兩相宜。
看到 pip install ipython[all]
一行裝一個套件,20 秒內裝好 12 個套件的感覺真好。
參考
----
- pip 官網: https://pip.pypa.io/
- wheel 官網: https://wheel.readthedocs.org/
如果有寫錯什麼再麻煩多多指教(鞠躬)
說好的 Windows 呢?
===================
上述的所有功能在 Windows 上都能正常運作。
設定檔請寫在 %HOME%\pip\pip.ini 中
[global]
find-links = C:\pip\wheels
download_cache = C:\pip\cache
[wheel]
wheel-dir = C:\pip\wheels
請確定這些路徑存在且有權限。
在 Windows 上設定 Python
------------------------
(是不是要另外發一篇?)
如果用 Python 3.4 的話,使用官方的安裝程式,
裝完就有 setuptools 以及 pip 了。
虛擬環境用內建的就可以了
PS > py.exe -3.4 -m venv VENV_NAME
PS > .\VENV_NAME\Scripts\Activate.ps1
(VENV_NAME) PS >
還是彩色的喔 :)
Powershell PS1 權限
"""""""""""""""""""
如果 Activate.ps1 噴 error 的話,用管理員權限執行
PS > Set-ExecutionPolicy Unrestricted
# 按 Y
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 106.185.29.212
※ 文章網址: https://www.ptt.cc/bbs/Python/M.1406294621.A.42B.html
... <看更多>