潜在供应链攻击:pyd和py优先级问题

访客4年前黑客文章1211

简介

Cython的出现使得Python代码更加安全和快速。大多数人对于Cython的了解在于用来保护Python代码库,它的确让Python代码的安全性得到提升,目前得到的pyd文件只能反汇编,并且优先级会高于py文件。如果利用它的特性结合供应链攻击,也许会带来安全隐患。

优先级问题

当相同文件名的pyd和py文件在同级目录之中,将会优先执行pyd文件。pyd文件通常因难以阅读、研发缺少反汇编技能,导致少被关注。下面进行测试:
咱们新建文件tmp_debug.py,将其编译为pyd文件。
#!/usr/bin/python
# -*- coding: utf-8 -*-
def test():
print("恶意逻辑测试。")
print("输出测试。")
if __name__=="__main__":
test()
再将其中的部分代码删除。得到tmp_debug.py如下代码:
#!/usr/bin/python
# -*- coding: utf-8 -*-
def test():
print("输出测试。")
if __name__=="__main__":
test()
将其pyd文件与py文件放在同级目录之中。通过如下代码执行调用:
import?tmp_debug
tmp_debug.test()
得到结果:
恶意逻辑测试。
输出测试。
如果你使用PyCharm,按住Ctrl用鼠标左键点击tmp_debug.test() *** ,则会跳转到py文件代码,pyd将会被忽略。如果被用于供应链攻击后果可想而知。

修复办法

1、如果条件允许更好能够重新编译PYD文件。
2、对比官方模块的校验。

相关文章

以运营和数据为王的在线教育公司怎么做品牌?需要做吗?

以运营和数据为王的在线教育公司怎么做品牌?需要做吗?

编辑导读:作为在校教诲公司,一直以来垂青的都是数据和运营,想要不绝地吸引新客户,留住老客户。可是,本文作者通过一次课程认识到,品牌对付在线教诲公司来说也同样重要。本文将从三个方面,阐明在校教诲如何做好...

苹果隐藏代码功能大全(苹果手机隐藏代码大全)

苹果隐藏代码功能大全(苹果手机隐藏代码大全)

本文导读目录: 1、苹果手机有哪些隐藏功能,至少10个 2、苹果隐藏功能怎么用 3、iPhone的6个内置隐藏代码 4、苹果有哪些隐藏功能 5、iPhone7plus隐藏功能大全 苹果...

安装家庭摄像头,详细安装方案

安装家庭摄像头,详细安装方案

家庭安装监控摄像头设备,在当下是已经普遍的现象,一方面可以在任何角落了解家里小孩或者老人的情况,还可以为偷盗事件做个取证。但是很多人还感觉安装监控这个事情仍处于需专业人员安装,今天我就在这里告诉大家根...

微信申诉失败怎么回事,网络手机黑客联系方式,能在淘宝找黑客办事吗

假如被侵略的服务器运转微软的IIS Web服务器软件,进犯者就运用本身权限来装置一个定制的Windows木马程序:炸药(Explosive)。 该程序有键盘记载和其它信息盗取才能,也是该黑客安排的首要...

微信如何定位,技术性黑客的联系方式,黑客 找信息

Version : 1.11.0192.168.1.2 ether 0A-11-22-33-44-02 C wlan0运用环境设置 不能删去管理员试验环境跟之前相同,方针服务器IP地址192...

“校园贷”藏身华尔街英语 学个英语背上十几万贷款?

【“校园贷”藏身华尔街英语 学个英语背上十几万贷款?】近日网友爆料,一名大学生因在华尔街英语报课背上了网贷平台十几万元的“培训贷”。此前我国已明令禁止校园贷↓↓但是,工作人员却用这样的手段继续为学员办...