用个小技巧,趁你不备,rm -rf你的电脑

开发 后端
大家回想一下,你是不是遇到过这种情况:有时候,你访问一个网站,它突然给你下载了一个东西。特别是当你用 Chrome 的时候,浏览器直接就自动给你下载到“下载”文件夹里面去了。

大家回想一下,你是不是遇到过这种情况:有时候,你访问一个网站,它突然给你下载了一个东西。特别是当你用 Chrome 的时候,浏览器直接就自动给你下载到“下载”文件夹里面去了,如下图所示:

而大多数时候,你只是把 Chrome 的这个提示关掉了,并没有去主动删除它下载的这个文件。于是这个自动下载的文件就留在了你的“下载”文件夹里面。

你想,我只要不去执行它,就不会有什么问题。但事实真的是这样吗?我们看看下面这张图。

  1. python3 -m pip install requests 

简单又熟悉的命令,我们都执行了无数次。今天却翻车了。电脑被格式化了。

问题出在哪里?问题出在这里:

当我们执行python3 -m pip install xxx的时候,Python 会在你当前运行这个命令的文件夹下面寻找有没有一个叫做 pip.py 的文件。如果有这个文件的话,那么你执行python3 -m pip install xxx相当于执行python3 pip.py install xxx。如果这个pip.py文件里面有恶意代码,那么你就翻车了。

恶意用户如果想攻击 Python 开发者,就可以自己做一个 Python 相关的网站,当用户访问网站的时候,悄悄下载一个 pip.py 到你的电脑上。如果有人碰巧在下载文件夹里面执行了 python3 -m pip install xxx想安装某个库,那么此时就会触发恶意攻击代码,从而让你中招。

特别是遇到不会科学上网的用户,他们直接使用 pip 常常会出现网络超时的问题,于是恶意网站“友好”地给他们提供.whl包的官方下载地址。用户一看,是官方地址,放松了警惕。这样一来,用户用浏览器从官网下载这个包时,正好也是下载到了“下载”文件夹里面。于是很多用户顺理成章地,直接

  1. cd ~/Downloads 
  2. python3 -m pip install xxx.whl 

于是悲剧就发生了。

 

责任编辑:赵宁宁 来源: 未闻Code
相关推荐

2021-02-16 00:17:39

电脑技巧系统

2024-01-08 17:09:07

Python解释器CPython

2009-10-27 09:09:06

Eclipse技巧

2022-01-06 22:31:21

Python技巧代码

2018-09-08 17:17:52

数据库MySQL小技巧

2020-05-06 16:32:18

for循环Python迭代

2023-01-03 09:00:52

React前端

2021-02-05 16:20:54

代码Linux技巧

2024-02-26 18:11:08

Docker容器镜像

2022-09-15 07:05:09

Windows电脑技巧

2016-03-01 11:56:59

2017-09-08 08:43:39

iOS 11SafariPDF

2022-03-29 12:40:35

Linux树莓派

2022-11-16 09:04:36

SQL查询SELECT

2021-11-29 11:11:45

SQL查询技巧

2021-05-09 06:25:53

Word技巧开发工具

2017-08-25 09:18:04

2013-11-15 14:23:28

Ubuntu技巧

2020-07-08 17:06:00

Python开发工具

2017-01-16 15:12:36

Linuxwatch命令命令
点赞
收藏

51CTO技术栈公众号