概述
小G@北京 2012/5/15 19:23
eval函数是python最常用于做序列化、反序列化的函数,有些人就会把外部输入的数据,eval一下变成对象,但你不做任何过滤就执行eval的时候可知道,你变成一个很初级的码农了。
命令执行的场景如下:
code ="""__import__('os').system('echo 1')"""
eval(code)
1
0
1
2
3
4
code="""__import__('os').system('echo 1')"""
eval(code)
1
0
很简单,code变量的值可能是外部提交的,一旦被你序列化的时候,里面是可以写python代码并被执行了,而且eval执行的代码是在当前命名空间下的。
eval是可以指定执行时的全局和局部的命令空间的:
安全使用eval
eval接受3个参数: eval(source[, globals[, locals]]) -> value
只要将2个命名空间置空即可隔绝上下文的代码进行安全执行表达式。
eval('{1:2}',{},{})
1
eval('{1:2}',{},{})
不过! 通过builtins内置的方法仍有可能绕过:import('os').system('dir')、 eval("globals()", {}, {}), 直接秒杀
情况看上去似乎很复杂,不好解决问题啊。
此时只能祭出大招了。。
嗯哼,吭叽吭叽地写出一个安全eval的接口,方便开发的同学不需要再考虑这些产品相关性很低而复杂的问题。
safeeval模块因此而诞生,为序列化操作提供安全转换,对eval数据进行词法分析,确保eval的数据中不会包含不合法的TRUE等写法,并且在隔离、安全的环境执行eval。
用法:
myobj = safe_eval(eval_str)
最后
以上就是专注蓝天为你收集整理的python的eval_python的命令注入威胁之eval()的全部内容,希望文章能够帮你解决python的eval_python的命令注入威胁之eval()所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复