基于第三方库隔离的Python沙箱逃逸防御机制

PaaS平台由于可提供Python服务成为目前较受欢迎的云服务。PaaS平台应用Python沙箱解决安全问题,同时允许用户使用Python C化模块以降低Python对性能的影响。然而,攻击者能够利用Python沙箱策略的漏洞进行逃逸,导致危害底层系统。现有的Python沙箱大多在代码层进行防御,缺乏对Python C化模块的监管和防护。文章分析了Python C化模块的底层原理和Python沙箱逃逸的特点,针对沙箱逃逸后需要执行特定危险函数发起攻击的特征,提出一种基于第三方库隔离的Python沙箱逃逸防御机制,并实现了原型系统。该机制的原型系统利用GOT Hook技术对Python的C化模块导入行为和危险函数调用行为进行接管,在Python导入C化模块时,提前对该C化模块进行安全检查和隔离。另外,在Python调用危险函数时,对该函数的参数进行检查。实验结果表明,文章所提机制能够有效防御攻击者利用自定义的C化模块逃逸Python沙箱以及使用恶意参数调用危险函数。在正常使用时,文章所提机制的时间开销较低,平均时间开销小于5%。

都是自私惹的祸

星期天的中午,小姨和小姨夫带着小表弟帅帅来吃饭。大人们聚在一起热闹地闲聊,我和帅帅也不闲着,在一旁快乐地玩着＂警察抓小偷＂的游戏。