用个小技巧，趁你不备，rm-rf你的电脑

大家回想一下，你是不是遇到过这种情况：有时候，你访问一个网站，它突然给你下载了一个东西。特别是当你用 Chrome 的时候，浏览器直接就自动给你下载到“下载”文件夹里面去了，如下图所示：

创新互联公司致力于成都网站建设、网站设计,成都网站设计,集团网站建设等服务标准化，推过标准化降低中小企业的建站的成本，并持续提升建站的定制化服务水平进行质量交付，让企业网站从市场竞争中脱颖而出。 选择创新互联公司，就选择了安全、稳定、美观的网站建设服务！

而大多数时候，你只是把 Chrome 的这个提示关掉了，并没有去主动删除它下载的这个文件。于是这个自动下载的文件就留在了你的“下载”文件夹里面。

你想，我只要不去执行它，就不会有什么问题。但事实真的是这样吗?我们看看下面这张图。

 
 
 
 

  
  
  
  
python3 -m pip install requests 
 
 
 
 

简单又熟悉的命令，我们都执行了无数次。今天却翻车了。电脑被格式化了。

问题出在哪里?问题出在这里：

当我们执行python3 -m pip install xxx的时候，Python 会在你当前运行这个命令的文件夹下面寻找有没有一个叫做 pip.py 的文件。如果有这个文件的话，那么你执行python3 -m pip install xxx相当于执行python3 pip.py install xxx。如果这个pip.py文件里面有恶意代码，那么你就翻车了。

恶意用户如果想攻击 Python 开发者，就可以自己做一个 Python 相关的网站，当用户访问网站的时候，悄悄下载一个 pip.py 到你的电脑上。如果有人碰巧在下载文件夹里面执行了 python3 -m pip install xxx想安装某个库，那么此时就会触发恶意攻击代码，从而让你中招。

特别是遇到不会科学上网的用户，他们直接使用 pip 常常会出现网络超时的问题，于是恶意网站“友好”地给他们提供.whl包的官方下载地址。用户一看，是官方地址，放松了警惕。这样一来，用户用浏览器从官网下载这个包时，正好也是下载到了“下载”文件夹里面。于是很多用户顺理成章地，直接

 
 
 
 

  
  
  
  
cd ~/Downloads 
  
  
  
  
python3 -m pip install xxx.whl 
 
 
 
 

于是悲剧就发生了。

文章标题：用个小技巧，趁你不备，rm-rf你的电脑
本文链接：http://www.hantingmc.com/qtweb/news12/155312.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联