NO.60 | 2019.10.31
banner
title開花結果 友善列印>>
2019年PyCon Taiwan、PyCon Korea、PyCon Malaysia與會心得報告_資通安全組 陳坤裕工程師、宋駿瑋副工程師

  於九月底,我們終於抵達了今(2019)年 PyCon 之旅的最後一站,完成在PyCon Taiwan的最後一場演講。一路走來充滿各種樂趣,而這一切,皆從研發「惡意程式分析引擎」開始。
 

圖1:PyCon Korea 2019
(圖片來源:本中心提供)

  研發「惡意程式分析引擎」的過程中,我們意外地發現Python 程式語言內建模組(zipfile)的漏洞。藉此漏洞,駭客就可利用惡意壓縮檔(zip bomb),使其解壓縮後,以不正常倍數膨脹檔案的容量,並以此耗損系統資源,最終癱瘓系統。因此,在取得Mitre發出的CVE編號(CVE-2019-9674)後,我們隨即與Python核心開發者進行多次討論[1][2][3],試圖修補該漏洞。最終,我們與核心開發者取得共識並協助 Python 軟體基金會(Python Software Foundation, PSF)[4] ,將漏洞資訊更新至 Python 官方文件中[5]
 

圖2:於PyCon Korea 2019與Python核心開發人員Carol Willing(中)合影
(圖片來源:本中心提供)

  此外,我們也大膽嘗試,將所有經驗於彙整後投稿至PyCon Taiwan、PyCon Korea、PyCon Japan及PyCon Malaysia,並很榮幸地獲得臺灣、韓國、馬來西亞主辦方審稿者的青睞,同意於其大會中發表研究成果。亦感謝主辦單位上傳演講影片至YouTube[6]與各路好手分享。
 

圖3:於PyCon Korea 2019中發表研究成果
(圖片來源:本中心提供)


圖4:於PyCon Korea 2019中發表研究成果
(圖片來源:本中心提供)


圖5:於PyCon Korea 2019中發表研究成果
(圖片來源:本中心提供)

  能讓外界接受我們的研發成果,除蒙受幸運之神的眷顧外,尚有以下幾點想與有志於技術研發者分享:
  1. 我們大膽設定困難目標,並勇往直前嘗試各種可能性。
  2. 面對難題時,我們的解決方法是不斷地問自己越來越基本的問題。
  3. 在與Python核心開發者的各種攻防戰中,我們不斷升級自己的膽量與底氣。
  4. 過程中,我們始終帶著玩興。
  最後,今年能有如此斬獲,我們要感謝中心長官給予充分的研發空間,讓我們得以無限展開、拓展各種可能性。我們將繼續努力,面對困難、突破困難、享受困難。

圖6:於PyCon Korea 2019中發表研究成果
(圖片來源:本中心提供)


圖7:於PyCon Korea 2019中發表研究成果
(圖片來源:本中心提供)

精彩研討會內容請參考「2019年PyCon Korea出國報告」:
https://www.ttc.org.tw/files/opendata/PyCon.pdf
 

[1] Python Bug Tracker:https://bugs.python.org/issue36260
[2] Python Security:https://python-security.readthedocs.io/security.html#archives-and-zip-bomb
[3] GitHub:https://github.com/python/cpython/pull/13378
[4] Python軟體基金會:https://www.python.org/psf/
[5] The Python Standard Library:https://docs.python.org/3.8/library/zipfile.html#decompression-pitfalls
[6] 於PyCon Korea 2019之演講:https://www.youtube.com/watch?v=-S4JVQt6GX4