python的eval_python的命令注入威胁之eval()
小G@北京 2012/5/15 19:23eval函数是python最常用于做序列化、反序列化的函数,有些人就会把外部输入的数据,eval一下变成对象,但你不做任何过滤就执行eval的时候可知道,你变成一个很初级的码农了。命令执行的场景如下:code ="""__import__('os').system('echo 1')"""eval(code)101234code="""__import__...
