Escrevendo códigos seguros em Python

Transcript

1. © 2021 Thoughtworks | Confidential Escrevendo códigos seguros em Python

   1 @yyyyyyyan_

2. © 2021 Thoughtworks | Confidential “Programar em Python é fácil”

   2 2 © 2021 Thoughtworks

3. © 2021 Thoughtworks | Confidential “Programar em Python é fácil?”

   3 3 © 2021 Thoughtworks

4. © 2021 Thoughtworks | Confidential eval() é realmente perigoso 4

   1.

5. © 2021 Thoughtworks | Confidential eval(expression[, globals[, locals]]) Avalia uma

   expressão Python e retorna o resultado 5 Parâmetros opcionais: - globals Dicionário - locals Qualquer mapping object

6. © 2021 Thoughtworks | Confidential 6 O perigo começa quando...

7. © 2021 Thoughtworks | Confidential 7 E se limparmos as

   variáveis globais?

8. © 2021 Thoughtworks | Confidential 8 O Python insere builtins

   automaticamente...

9. © 2021 Thoughtworks | Confidential 9 E se especificamente limparmos

   os builtins?

10. © 2021 Thoughtworks | Confidential 10 Montando um payload

11. © 2021 Thoughtworks | Confidential 11 Montando um payload

12. © 2021 Thoughtworks | Confidential 12 eval() é realmente perigoso

    SamuelAnttila / netsec.expert

13. © 2021 Thoughtworks | Confidential - ast.literal_eval(node_or_string) - Parse de

    string 13 Alternativas

14. © 2021 Thoughtworks | Confidential 14 Então quando devemos usar

    o eval()? Quando não há outra maneira viável de realizar uma tarefa

15. © 2021 Thoughtworks | Confidential 15 Então quando devemos usar

    o eval()? Quando não há outra maneira viável de realizar uma tarefa (nunca)

16. © 2021 Thoughtworks | Confidential Executando código arbitrário com o

    pickle 16 2.

17. © 2021 Thoughtworks | Confidential pickle.dump(obj, file, protocol=None, *) pickle.dumps(obj,

    protocol=None, *) Serializa um objeto Python em uma sequência de bytes 17 Parâmetros opcionais: - protocol Número inteiro indicando o protocolo usado para a serialização. Atualmente vai de 0 (mais antigo) a 5 Python 3.8.

18. © 2021 Thoughtworks | Confidential 18 O método mágico __reduce__()

    Usado para customizar como instâncias de classe são serializadas. Deve retornar uma string ou uma tupla com um callable e seus argumentos.

19. © 2021 Thoughtworks | Confidential 19 O método mágico __reduce__()

    Usado para customizar como instâncias de classe são serializadas. Deve retornar uma string ou uma tupla com um callable e seus argumentos.

20. © 2021 Thoughtworks | Confidential 20 Abrindo o pote de

    picles com o pickletools

21. © 2021 Thoughtworks | Confidential 21 Mas e para executar

    código arbitrário?

22. © 2021 Thoughtworks | Confidential 22 Serializando código arbitrário com

    marshal

23. © 2021 Thoughtworks | Confidential 23 E pra executar isso?

24. © 2021 Thoughtworks | Confidential 24 Montando o pickle malicioso

25. © 2021 Thoughtworks | Confidential 25 Demonstração

26. © 2021 Thoughtworks | Confidential Assinar pickle com HMAC 26

    Prevenção Alternativa Usar um padrão de serialização mais seguro (JSON)

27. © 2021 Thoughtworks | Confidential O poder do pip install

    27 3.

28. © 2021 Thoughtworks | Confidential 28 O que acontece quando

    rodamos pip install? 1. Identificação das requisições base e dos argumentos passados 2. Resolução das dependências e determinação do que será instalado 3. Determinação do método de instalação 4. Instalação dos pacotes

29. © 2021 Thoughtworks | Confidential 29 Determinação do método de

    instalação Se tem uma wheel disponível: Baixa a wheel e instala por ela; Senão: Baixa o código fonte do pacote; Se for possível fazer o build da wheel pelo código fonte: Faz o build da wheel e instala por ela; Senão: Instala pelo setup.py;

30. © 2021 Thoughtworks | Confidential 30 setup.py - metadados dinâmicos

31. © 2021 Thoughtworks | Confidential 31 Executando código arbitrário na

    instalação

32. © 2021 Thoughtworks | Confidential 32 Demonstração

33. © 2021 Thoughtworks | Confidential 33 Risco na prática -

    Typosquatting

34. © 2021 Thoughtworks | Confidential 34 Risco na prática -

    --extra-index-url https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610

35. © 2021 Thoughtworks | Confidential - --only-binary - --require-hashes -

    NUNCA instale um pacote como sudo/administrador 35 Prevenção

36. © 2021 Thoughtworks | Confidential Dependências desatualizadas 36 4.

37. © 2021 Thoughtworks | Confidential 37 Vulnerabilidades são encontradas sempre!

38. © 2021 Thoughtworks | Confidential - Acompanhar releases dos pacotes

    que usamos - Acompanhar lista de vulnerabilidades do CVE (cve.mitre.org) 38 Prevenção

39. © 2021 Thoughtworks | Confidential Python desatualizado 39 5.

40. © 2021 Thoughtworks | Confidential 40 Vulnerabilidades são encontradas sempre!

41. © 2021 Thoughtworks | Confidential 41 Entendendo os status das

    branches do Python

42. © 2021 Thoughtworks | Confidential 42 Atenção com funções obsoletas!

43. © 2021 Thoughtworks | Confidential str.format() não guarda segredos 43

    6.

44. © 2021 Thoughtworks | Confidential 44 Quem controla a formatação

    pode ver tudo! https://lucumr.pocoo.org/2016/12/29/careful-with-str-format/

45. © 2021 Thoughtworks | Confidential 45 Alternativa https://lucumr.pocoo.org/2016/12/29/careful-with-str-format/

46. © 2021 Thoughtworks | Confidential O problema do pseudo aleatório

    46 7.

47. © 2021 Thoughtworks | Confidential 47 Como não gerar senhas

    seguras

48. © 2021 Thoughtworks | Confidential 48 O módulo random e

    a tal seed

49. © 2021 Thoughtworks | Confidential - Módulo secrets - os.urandom()

    - random.SystemRandom 49 Alternativas

50. © 2021 Thoughtworks | Confidential Cuidado com arquivos-bombas 50 8.

51. © 2021 Thoughtworks | Confidential 51 Billion laughs attack

52. © 2021 Thoughtworks | Confidential 52 Prevenção

53. © 2021 Thoughtworks | Confidential 53 Tarbombs e path traversal

54. © 2021 Thoughtworks | Confidential 54 Prevenção Não use o

    extractall() sem inspeção!

55. © 2021 Thoughtworks | Confidential assert é para debug! 55

    9.

56. © 2021 Thoughtworks | Confidential 56 Para que serve o

    assert?

57. © 2021 Thoughtworks | Confidential 57 Economizando uma linha com

    o assert?

58. © 2021 Thoughtworks | Confidential 58 Não são equivalentes São

    equivalentes

59. © 2021 Thoughtworks | Confidential 59 A constante __debug__ e

    a flag -O

60. © 2021 Thoughtworks | Confidential Auditando nosso código 60

61. © 2021 Thoughtworks | Confidential 61 Muitas opções! - Codacy

    (gratuito para projetos Open Source) - Horusec (Open Source) - Pyre/Pysa (Open Source) - Coverity Scan (exclusivo para projetos Open Source) - Bandit (Open Source)

62. © 2021 Thoughtworks | Confidential 62 Usando o bandit

63. © 2021 Thoughtworks | Confidential Pontos-chaves para nunca esquecer 63

64. © 2021 Thoughtworks | Confidential Nunca confie no input do

    usuário 64 1.

65. © 2021 Thoughtworks | Confidential Evite executar código Python como

    sudo/administrador 65 2.

66. © 2021 Thoughtworks | Confidential Mantenha seu sistema atualizado 66

    3.

67. © 2021 Thoughtworks | Confidential Leia a documentação 67 4.

68. © 2021 Thoughtworks | Confidential Leia a documentação 68 4.

69. © 2021 Thoughtworks | Confidential Use ferramentas de análise estática

    de código 69 5.

70. © 2021 Thoughtworks | Confidential Obrigado! 70 @yyyyyyyan_ @esquerdev https://speakerdeck.com/yyyyyyyan/escrevendo-codigos-seguros-em-python