# Python ## Outils ### Bandit Bandit est un scanner de vulnérabilité pour applications python. Utilisation: *`$ bandit exemple.py`* ressource: ### Safety Safety est un scanner de vulnérabilité de dépendances python. ressource: ## Identifier les entrées utilisateur ## Vérifier que les entrées utilisateurs sont bien filtrées et sanitize Flask => `flask.escape()` Django => `django.utils.html.escape()` autres dépendances => bleach par exemple avec `bleach.clean()` Vérifier si une fonction custom a été faite pour cela. ## Vérifier que les requêtes SQL utilisent des named-parameters Exemple: ```python # Non sécurisé cursor.execute(f"SELECT admin FROM users WHERE username = '(username)'"); # Sécurisé cursor.execute("SELECT admin FROM users WHERE username = %(username)s", {'username': username}); ``` ## Vérifier la présence de SSRF Si une requête est envoyée vers une URL / un domaine / une IP fournie par l'utilisateur, vérifier que l'application valide le format de celle-ci (avec "validators" ou "urlparse" par exemple) et utilise une whiteliste de destinations de confiance. ## Vérifier la présence de secrets codés en dur Vérifier si l'application utilise un gestionnaire de secret ou des variables d'environnement pour stocker ses secrets et si ce n'est pas le cas, rechercher des secrets codés en dur. ## Vérifier la présence de messages d'erreurs verbeux Si l'application utilise un framework populaire, verifier que les messages d'erreurs verbeux sont désactivés ( Pour Django par exemple `DEBUG = False` dans le fichier `settings.py`). Si l'application n'utilise pas de framework populaire, vérifier si une fonction permettant de gérer les exceptions existe et vérifier si ces exceptions ne font pas fuiter d'informations sensibles. ## Vérifier la présence de journaux Vérfier que l'application journalise bien les actions et événements importants et qu'elle ne journalise pas d'informations sensibles tels que des identifiants, des tokens, des clés de chiffrements / d'API ou encore des informations personnelles susceptibles de causer une infraction aux réglementations du RGPD. (la dépendance `logging` est usuellement utilisée pour cela) ## Vérifier que l'application utilise des formats de chaînes de caractères appropriées Python3 possède quatre chaînes de caractères différentes, voici comment les choisir en fonction de l'usage que l'on souhaite en faire. ### Old Style string format avec l'opérateur "%" (#1) {% hint style="warning" %} Ce format n'est plus utilisé et a été remplacé par le format #2 sur Python3. {% endhint %} ```python name = "John" print('Hello, ' %s name) Hello, John ``` ### New Style str.format (#2) {% hint style="warning" %} Ce format a été remplacé par le format #3 sur Python 3.6+ {% endhint %} ```python name = "John" print('Hello, {}'.format(name)) Hello, John ``` ### Literal string interpolation format (#3) {% hint style="info" %} Très puissant et facile d'utilisation, il offre beaucoups de possibilités. {% endhint %} ```python name = "John" print(f'Hello, {name}') Hello, John ``` ### Template string format (#4) {% hint style="info" %} Particulierement utile pour les entrées utilisateurs car ce format n'a pas accès au contenu des variables globales et est plus léger en terme de consomation de ressources que les autres formats. {% endhint %} ```python from string import Template name = "John" t = Template('Hello, $name') result = t.substitute(name=name) print(result) Hello, John ```

Mindmap du choix des formats de chaînes de caractères par besoin

## Dependances et calls dangereux | Name | Calls | Severity | Comment | | ------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | -------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | pickle | | Medium | Risques d'insecure deserialization | | marshal | | Medium | Risques d'insecure deserialization | | PyYAML | yaml.load | Medium | Risques d'insecure deserialization | | md5 | | Medium | Utilisation de hashage obsolètes | | ciphers | | High | Utilisation de chiffrements obsolètes | | cipher\_modes | cryptography.hazmat.primitives .ciphers.modes.ECB | Medium | Utilisation de chiffrements obsolètes | | mktemp\_q | tempfile.mktemp | Medium | fonction non sécurisée et dépréciée | | eval | eval | Medium | Utilisation d’une fonction potentiellement non sécurisée - envisager d’utiliser ast.literal\_eval plus sûr | | mark\_safe | django.utils.safestring.mark\_safe | Medium | Peut entraîner des risques d'injection XSS | | httpsconnection | | Medium | L’utilisation de HTTPSConnection sur les anciennes versions de Python antérieures à 2.7.9 et 3.4.3 ne fournit pas de sécurité | | urllib\_urlopen | | Medium | Permet l'utilisation de schémas non sécurisés tel que "file:" | | random | | Medium | Les générateurs pseudo-aléatoires standard ne conviennent pas à des fins de sécurité/cryptographie. Envisagez d’utiliser le module secrets à la place | | telnetlib | telnetlib.\* | High | Telnet est considéré comme non sécurisé. Utilisez SSH ou un autre protocole chiffré. | | xml | | Medium | L’utilisation de diverses méthodes XLM pour analyser des données XML non fiables est connue pour être vulnérable aux attaques XML. Les méthodes doivent être remplacées par leurs équivalents defusedxml. | | ftplib | ftplib.\* | High | FTP est considéré comme non sécurisé. Utilisez SSH/SFTP/SCP ou un autre protocole chiffré. | | unverified\_context | \_create\_unverified\_context | Medium | Par défaut, Python créera un contexte ssl sécurisé et vérifié pour une utilisation dans des classes telles que HTTPSConnection. Toutefois, il permet toujours d’utiliser un contexte non sécurisé via le \_create\_unverified\_context qui revient au comportement précédent qui ne valide pas les certificats ou n’effectue pas de vérifications de nom d’hôte. | | tempnam | | Medium | L’utilisation de os.tempnam() et os.tmpnam() est vulnérable aux attaques de liens symboliques. Envisagez d’utiliser tmpfile() à la place. | | subprocess | | High | Risque de RCE | | OS | | High | Risque de RCE |