欢迎各位开发者!在这篇博文中,我们将深入研究应用程序安全领域,特别关注可能恶化 fastapi 安全性的漏洞:由不安全的正则表达式 (regex) 导致的拒绝服务 (dos)。我们将探讨构造不良的正则表达式如何导致所谓的正则表达式拒绝服务 (redos)(一种 dos 攻击),以及如何使用强大的开发人员安全工具 — snyk 来识别和缓解这些漏洞。
了解 redos 对 python 中 fastapi 安全性的影响
python 是最流行的编程语言之一,拥有庞大的包和库生态系统。虽然这些软件包让我们作为开发人员的生活变得更轻松,但如果没有得到适当的保护,它们也会带来潜在的风险。随着软件开发的快速步伐,软件包经常更新,新版本发布,有时会在不知不觉中引入安全风险。
其中一个风险是潜在的 redos 攻击,这是一种 dos 攻击,攻击者向需要很长时间才能评估的正则表达式提供恶意输入。这会导致应用程序变得无响应或显着减慢,这可能会产生严重的影响,从用户体验下降到应用程序完全失败。
import re
pattern = re.compile("^(a+)+$")
def check(input):
return bool(pattern.match(input))
check("a" * 3000 + "!")
上面的代码中,正则表达式^(a+)+$容易受到redos攻击。如果攻击者提供一串“a”后跟一个非“a”字符,则正则表达式需要很长时间来评估,从而有效地导致 dos。
snyk 如何保护您的 fastapi python 应用程序
snyk 是一款开发人员优先的安全工具,可以扫描您的 python 代码以查找潜在的 redos 漏洞。它提供已识别漏洞的详细报告并推荐最合适的修复方案。
# after installing snyk and setting up the snyk cli # you can scan your project: $ snyk test
此命令将扫描您的第三方依赖项清单(通常在requirements.txt 文件中),并提供所有已识别漏洞的报告,包括潜在的redos 漏洞。立即注册免费的 snyk 帐户,开始扫描您的 python 项目是否存在 redos 和其他漏洞。
了解此类漏洞的影响以及如何缓解它们对于维护安全的 python 应用程序至关重要。这就是 snyk 这样的工具派上用场的地方。 snyk open source 可以帮助识别和修复 python 包中的安全漏洞,包括可能导致 redos 攻击的不安全正则表达式。
让我们仔细看看如何使用 snyk 识别和缓解 fastapi python web 应用程序中的此类漏洞。
fastapi 安全漏洞 cve-2024-24762
fastapi 是一个现代的高性能 web 框架,用于基于标准 python 类型提示使用 python 构建 api。它的主要特点是速度以及快速、轻松地构建强大 api 的能力,使其成为需要构建高性能 restful api 的 python 开发人员的热门选择。
fastapi 通过提供开箱即用的路由机制、序列化/反序列化和验证来简化构建 api 的过程。它构建在用于 web 部分的 python 项目 starlette 和用于数据部分的 pydantic 之上。这允许开发人员利用 python 3.6 及更高版本中提供的异步功能。
作为示例,可以使用以下代码片段来完成使用 fastapi python web 应用程序创建简单的 api:
from fastapi import fastapi
app = fastapi()
@app.get("/")
def read_root():
return {"hello": "world"}
虽然 fastapi 是一个强大且敏捷的 api 开发工具,但它并非没有漏洞。其中之一是 cve-2024-24762 漏洞。这是一个拒绝服务漏洞,源自 python 包 python-multipart 使用的正则表达式。
python-multipart 依赖项是一个用于解析 multipart/form 数据的 python 库。它通常用作 fastapi 中的依赖项来管理表单数据。
当攻击者发送恶意字符串,导致 python-multipart 中的正则表达式消耗大量 cpu,从而导致拒绝服务 (dos) 时,就会出现该漏洞。这也称为正则表达式拒绝服务 (redos)。
python 开发人员如何缓解此漏洞?第一步是识别项目中的漏洞。这可以使用 snyk cli 工具来完成。
$ snyk test
检测此类漏洞需要扫描项目的依赖项,这将提供项目依赖项中所有漏洞的报告。
snyk测试命令的输出发现漏洞:
snyk test
testing /users/lirantal/projects/repos/fastapi-vulnerable-redos-app...
tested 13 dependencies for known issues, found 1 issue, 1 vulnerable path.
issues to fix by upgrading dependencies:
upgrade fastapi@0.109.0 to fastapi@0.109.1 to fix
✗ regular expression denial of service (redos) (new) [high severity][https://security.snyk.io/vuln/snyk-python-fastapi-6228055] in fastapi@0.109.0
introduced by fastapi@0.109.0
organization: liran.tal
package manager: pip
target file: requirements.txt
project name: fastapi-vulnerable-redos-app
要修复该漏洞,您可以升级到已修复该漏洞的 python-multipart 包和 fastapi 的较新版本,这些版本是 snyk 建议的。
构建和破坏 fastapi 安全性:分步指南
我们的第一步是建立一个新的 python 项目。我们需要安装 fastapi 以及托管它的服务器。 uvicorn 是服务器的一个不错的选择,因为它是轻量级的并且与 fastapi 配合良好。
首先使用 pip 安装 fastapi、python-multipart 和 uvicorn:
pip install fastapi==0.109.0 uvicorn python-multipart==0.0.6
接下来,为您的项目创建一个新目录,并在该目录中为您的 fastapi 应用程序创建一个新文件。你可以将其命名为 main.py.
编写 fastapi python 代码
现在我们准备编写 fastapi 应用程序代码了。打开main.py并添加以下python代码:
from typing import annotated
from fastapi.responses import htmlresponse
from fastapi import fastapi,form
from pydantic import basemodel
class item(basemodel):
username: str
app = fastapi()
@app.get("/", response_class=htmlresponse)
async def index():
return htmlresponse("test", status_code=200)
@app.post("/submit/")
async def submit(username: annotated[str, form()]):
return {"username": username}
@app.post("/submit_json/")
async def submit_json(item: item):
return {"username": item.username}
这个简单的 fastapi 应用程序有多个路由 (/),包括 /submit,它使用多部分形式。当收到 post 请求时,提交路由会返回提交的用户名。
启动服务器并运行应用程序
编写完 fastapi 应用程序代码后,我们现在可以启动 uvicorn 服务器并运行我们的应用程序。
使用以下命令启动服务器:
uvicorn main:app --reload
您应该看到一个输出,表明服务器正在运行。您可以通过在 web 浏览器中导航到 http://localhost:8000 来测试您的应用程序。页面上应显示“测试”消息。
通过 redos 攻击破坏 fastapi 安全
现在我们的 fastapi 应用程序正在运行,我们可以测试它是否存在漏洞。我们将在 http 请求中使用 redos 攻击负载来利用解析 content-type 标头值的 python-multipart 包中的漏洞。
如果您安装了curl程序,请在终端中运行以下命令:
curl -v -x 'post' -h $'content-type: application/x-www-form-urlencoded; !="\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\' --data-binary 'input=1' 'http://localhost:8000/submit/'
使用 snyk 保护您的 fastapi 应用程序
正如您现在所看到的,开源依赖项在构建 python 应用程序中发挥着关键作用。然而,这些第三方依赖项有时可能成为漏洞的滋生地,从而构成重大的安全威胁。在这种背景下,snyk open source 作为一个强大的工具应运而生,可以帮助开发人员有效地识别和修复安全问题。
想象一下,当您编写 python 代码时,您可以快速找到 ide 面板中已有的 fastapi 安全漏洞,而不是等到安全扫描程序在稍后阶段发现它。
snyk ide 扩展是免费的,如果您使用 pycharm,您可以在插件视图中搜索 snyk 并直接从那里下载。如果您使用 vs code,您也可以直接从 ide 在扩展市场中找到它。
snyk 开源及其功能简介
snyk open source 是一个强大的工具,用于发现和解决开源依赖项和容器镜像中的漏洞。它旨在与现有代码库和 ci/cd 系统轻松集成,使其成为开发人员的便捷工具。它提供了已知漏洞的综合数据库,使开发人员能够主动解决潜在的安全漏洞。
有关如何使用 snyk 扫描 python 依赖项中的漏洞的分步指南
要使用 snyk 扫描 python 依赖项是否存在漏洞,首先需要安装 snyk cli。您可以使用指南中的方法之一来执行此操作,或者如果您有 node.js 环境,则可以使用 npm install -g snyk 快速安装 snyk,然后运行 snyk auth 进行身份验证。
安装后,您可以使用 snyk test 命令检查您的 python 项目是否存在漏洞:
snyk test --all-projects
snyk 然后将扫描您的所有依赖项并将其与漏洞数据库进行比较。如果发现任何问题,snyk 将提供详细报告,其中包含有关漏洞、其严重性和可能的修复方法的信息。
使用 snyk 监控您的项目对于维护应用程序的安全至关重要。使用 snyk,您不仅可以检测漏洞,还可以应用自动修复,这可以节省您的时间和资源。
此外,snyk 还提供漏洞警报,通知您可能影响您的项目的新漏洞。这使您能够领先一步并在安全问题被利用之前解决它们。
使用 snyk monitor 命令,您可以拍摄当前项目依赖项的快照并监控它们是否存在漏洞:
snyk monitor
如何将 snyk 与 git 存储库集成
将 snyk 与您的 git 存储库集成后,您可以自动扫描每个提交是否存在漏洞。这可以通过在存储库设置中将 snyk 添加为 webhook 来完成。
完成此操作后,每次推送到您的存储库都会触发 snyk 扫描,帮助您尽早捕获并修复漏洞。
总而言之,snyk open source 是维护 python 项目安全性的宝贵工具。通过扫描漏洞、监控项目以及与 git 存储库集成,snyk 使您能够维护强大、安全的代码库。如果您还没有注册一个免费的 snyk 帐户,请立即开始保护您的应用程序。
