python import hooks易被绕过因metapathfinder/pathentryfinder由用户完全控制且解释器不校验来源;须实时比对sys.meta_path、校验模块真实路径、禁用动态执行与zipimport,并防范hook自身被劫持。
Python import hooks 为什么容易被绕过安全检查
因为 importlib.abc.MetaPathFinder 和 importlib.abc.PathEntryFinder 的实现完全由用户控制,只要注册到 sys.meta_path 或 sys.path_hooks,就能在标准导入流程前/中拦截任意模块名——包括 os、subprocess、builtins 这类高危模块,而 Python 解释器本身不校验 hook 的来源或行为。
常见错误现象:审计脚本只扫描 sys.path 下的 .py 文件,却漏掉内存中动态注册的 hook;或只检查 __import__ 覆盖,但没查 sys.meta_path。
- 所有 hook 必须显式检查是否来自可信路径(如只允许
/opt/myapp/hooks/下的 .py),禁止加载__pycache__、临时目录、用户主目录下的模块 - 用
inspect.getsourcefile()验证 hook 模块的真实磁盘路径,避免被io.StringIO或字节码注入绕过 - 禁用
exec()、compile()、eval()在 hook 中出现——它们常被用来动态构造恶意导入逻辑
如何检测运行时注册的 import hook
不能只看启动时的 sys.meta_path 快照,很多攻击会在初始化后悄悄追加 hook。必须在关键业务入口(如 Web 请求处理前、CLI 命令 dispatch 前)做实时快照比对。
使用场景:沙箱环境、SaaS 多租户插件系统、CI/CD 流水线中执行第三方代码前。
立即学习“Python免费学习笔记(深入)”;
- 记录初始状态:
initial_meta_path = [type(h).__name__ for h in sys.meta_path] - 每次敏感操作前检查:
if [type(h).__name__ for h in sys.meta_path] != initial_meta_path,就触发告警或拒绝执行 - 注意兼容性:某些合法框架(如
pytest、poetry)也会临时插入 hook,需白名单过滤,例如允许PytestImportHook但禁止RemoteCodeLoader
hook 中读取源码时的路径校验陷阱
很多 hook 会重写 find_spec(),然后用 pathlib.Path().read_text() 或 open() 加载模块内容——这里极易被符号链接、相对路径穿越或 zipimport 绕过。
错误示例:open(fullpath) 直接打开用户传入的 fullpath,没做规范化和白名单校验。
- 必须用
pathlib.Path(fullpath).resolve()获取绝对路径,再检查是否在允许根目录下(如.resolve().is_relative_to(TRUSTED_ROOT)) - 禁用
zipimport:如果 hook 支持从 zip 包导入,攻击者可打包含恶意__init__.py的 zip 并注册为PathEntryFinder - 避免用
__file__做判断——它可能被伪造,应以inspect.getfile(hook_obj)结合os.path.realpath()校验
audit hook 自身是否被污染
最危险的情况是:你写的 import hook 被另一个更早注册的 hook 劫持了——比如它的 find_spec 方法被 monkey patch,或模块被 sys.modules 预先污染。
性能影响:每次调用 find_spec 都做完整校验会拖慢导入速度,建议只在首次加载 hook 模块时校验一次,并缓存结果。
- 加载 hook 模块后,立刻检查其关键方法是否被重写:
inspect.getsource(hook.find_spec)是否匹配预期哈希值 - 确认
hook.__module__对应的sys.modules条目未被替换:id(sys.modules[hook.__module__]) == id(hook) - 禁止 hook 模块依赖任何外部配置文件(如 json/YAML),否则攻击者可通过篡改配置间接控制行为
真正难防的是 hook 和解释器底层交互的灰色地带——比如通过 ctypes 修改 PyImport_GetModuleDict,这种已超出纯 Python 审计范围,得靠进程级隔离兜底。