python的eval_python的命令注入威胁之eval()

最新推荐文章于 2023-05-05 12:07:46 发布
最新推荐文章于 2023-05-05 12:07:46 发布
阅读量571 收藏 1
点赞数
文章标签: python的eval

小G@北京 2012/5/15 19:23

eval函数是python最常用于做序列化、反序列化的函数,有些人就会把外部输入的数据,eval一下变成对象,但你不做任何过滤就执行eval的时候可知道,你变成一个很初级的码农了。

命令执行的场景如下:

code ="""__import__('os').system('echo 1')"""

eval(code)

1

0

1

2

3

4

code="""__import__('os').system('echo 1')"""

eval(code)

1

0

很简单,code变量的值可能是外部提交的,一旦被你序列化的时候,里面是可以写python代码并被执行了,而且eval执行的代码是在当前命名空间下的。

eval是可以指定执行时的全局和局部的命令空间的:

安全使用eval

eval接受3个参数: eval(source[, globals[, locals]]) -> value

只要将2个命名空间置空即可隔绝上下文的代码进行安全执行表达式。

eval('{1:2}',{},{})

1

eval('{1:2}',{},{})

不过! 通过builtins内置的方法仍有可能绕过:import('os').system('dir')、 eval("globals()", {}, {}), 直接秒杀

情况看上去似乎很复杂,不好解决问题啊。

此时只能祭出大招了。。

嗯哼,吭叽吭叽地写出一个安全eval的接口,方便开发的同学不需要再考虑这些产品相关性很低而复杂的问题。

safeeval模块因此而诞生,为序列化操作提供安全转换,对eval数据进行词法分析,确保eval的数据中不会包含不合法的TRUE等写法,并且在隔离、安全的环境执行eval。

用法:

myobj = safe_eval(eval_str)

weixin_39907526
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解pythoneval函数的作用
09-18
在本篇文章里小编给大家整理的是关于pythoneval函数作用以及实例代码,需要的朋友们参考下吧。
pythontk界面显示函数中的变量值_python中的eval()函数
weixin_34886207的博客
01-04 277
eval()函数作用:将字符串转为python语句(就是去掉“”)然后执行转化后的语句例子:a = 1 b = 2 c = eval("a+b") print(c) #输出为3简单使用:使用input()函数输入,数据会以字符串的形式返回。如果我们输入的是需要参与计算的数字,则还需要转换类型,有了eval()函数,我们可以这样做:eval(input("请输入数字"))进阶:转自python e...
pythoneval函数高级应用
寻鱼的猫博客
06-21 1304
今天这里介绍的是eval函数的高级应用,至于eval函数转换list,dict,tuple等等的转化这里就不做解释了 eval函数有什么高级应用呢? 1.可以通过字符串来调用函数方法 2.也可以调用需要传参的函数 写法: eval('c.getcode()') 注意:使用前需要把相对于的py文件事先引入 接下来咱们看个列子 我在这个方法中写了一个,td方法 td中需要传入一个参数,不...
python怎么防止命令注入_Python3命令注入防范
weixin_35853083的博客
02-04 1129
一、背景说明说实话自己是做安全的,平时总是给别人代码找茬,但轮到自己写代码有时比开发还不注重安全,其中有安全脚本一般比较小考虑安全那么处理安全问题的代码比重将会大大超过业务代码的问题也有不是专职开发添加一项功能还没开发那么熟练的问题。由于安全脚本一般不是对外开启服务的,所以一般也不会暴出什么问题。但前段时间被拉群通知说自己写的一个脚本存在命令注入漏洞,开始很讶异,经沟通和分析之后发现是因为脚本有通...
针对`Python3`下Web框架不安全方法`eval()`的代码注入攻击
m0_62579137的博客
05-05 578
根据eval()方法不安全使用的一种攻击, 通过注入代码, 搭建一个简易的`Web Shell`, 为了方便, 使用`FastAPI `框架进行演示.
函数注入攻击
要啥啥不行,偷懒第一名
10-21 1779
实验目的与要求 1.了解eval注入的概念 2.了解eval注入攻击的方式 3.掌握防范攻击的方法 预备知识 eval注入攻击    Eval函数会将输入的字符串参数作为PHP程序代码来执行,用户可以将PHP程序代码保存在数据库的字段中,然后读入到eval函数中来执行。    Eval函数的用法如下: mixed eval ( string code_str )    code str是代码字符串,eval注入(eval injection)攻击发生在黑客能够控制eval函数...
python删除文件命令注入风险os_python的常见命令注入威胁
weixin_42164702的博客
01-29 464
命令注入的危害包括如下哪些选项C 中大多数缓冲区溢出问题可以直接追溯到标准 C 库。最有害的罪魁祸首是不进行自变量检查的、有问题的字符串操作(strcpy、strcat、sprintf 和 gets)。一般来讲,象“避免使用 strcpy()”和“永远不使用 gets()”这样严格的规则接近于这个要分享。常用的一些注入命令 //看看是什么权限的执行命令 ;DECLARE @shell INT EX...
Python中函数eval和ast.literal_eval的区别详解
09-21
eval函数在Python中做数据类型的转换还是很有用的。它的作用就是把数据还原成它本身或者是能够转化成的数据类型。那么eval和ast.literal_val()的区别是什么呢?本文将大家介绍关于Python中函数eval和ast.literal_...
python学习笔记之调用eval函数出现invalid syntax错误问题
09-21
python是一门多种用途的编程语言,时常扮演脚本语言的角色。一般来说,python可以定义为面向对象的脚本语言,这个定义把面向对象的支持和面向脚本语言的角色融合在一起。很多时候,人们常常喜欢用“脚本”和不是语言...
PYTHON EVAL的用法及注意事项解析
09-18
主要介绍了PYTHON EVAL的用法及注意事项解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Python学习笔记整理之输入输出、python eval函数
12-21
这篇文章主要介绍了Python学习笔记整理3之输入输出、python eval函数的相关资料,需要的朋友可以参考下 python中的变量: python中的变量声明不需要像C++、Java那样指定变量数据类型(int、float等),因为python会...
攻防世界 python 注入漏洞
灰太的表格的博客
04-06 1037
web_python_template_injection解题思路: 首先看到题目,就知道这道题是关于模板注入的,什么是模板注入呢?-为了写html代码的时候方便,很多网站都会使用模板,先写好一个html模板文件,比如 deftest():code=request.args.get('id')html='''<h3>%s</h3>'''%(code)returnrender...
Pythoneval 的用法
热门推荐
ajie957的博客
09-14 4万+
eval函数主要是用来实现python中各种数据类型与str之间的转换,下面会详细的举出实例来帮助理解 一 eval( )函数的基本用法 (1)字符串转换为列表 b=eval(a) print(a) print(b) print(type(a)) print(type(b)) 输出结果如下 可见eval将原本为字符串类型的a转换为list列表类型的b (2)将字符串转换为字典 a='{"number":2,"name":"jay"}' b=eval(a)...
1-Web安全——命令执行注入攻击
网络安全
09-06 7032
1. 系统命令执行 通常在程序开发过程中,应用程序需要调用一些外部程序时会用到一些系统命令相关函数。 例如在linux系统中,shell解释器就是用户和系统进行交互的一个接口,对用户的输入进行解析并在系统中执行。而shell脚本语言就是linux系统由各种shell命令组成的程序,具有其他普通编程的很多特点。 2. Web命令执行 常用的ASP,PHP,JSP等web脚本解释语言支持动态执行在运行时生成的代码这种特点,可以帮助开发者根据各种数据和条件动态修改程序代码,这对于开发人员来说是有利的.
JavaScript危险函数|eval()函数
qq_60115503的博客
04-18 5473
描述 eval()是全局对象的一个函数属性 eval()的参数是一个字符串,如果字符串表示的是表达式,eval()会对表达式进行求值,如果参数表示一个或多个JavaScript语句,那么eval()就会执行这些语句,不需要用eval()来执行一个算术表达式:因为javascript可以自动为算术表达式求值 如果你以字符串的形式构造了算术表达式,那么可以在后面用eval()对他求值,例如,假设你有一个变量x,你可以通过将表达式的字符串值(例如3*x+2)赋值给一个变量,然后在你的代码后面的其他地方调用e
数据库被批量注入解决办法(SQL语句)
02-17 827
针对最近老是出现的SQL注入,借鉴网上一些SQL语句,写了如下语句。希望对中招的朋友有所帮助。使用方法:复制以下代码到SQL查询分析器,将‘’修改成被注入的脚本。declare @delStr nvarchar(500)set @delStr=set nocount on declare @tableName nvarchar(100),@columnName nvarchar(100
怎么能防止网站被注入eval(base64_decode这种类型的木马?
superobser的博客
11-28 3445
一般都是网站程序存在漏洞或者服务器存在漏洞而被攻击了 网站挂马是每个网站最头痛的问题,解决办法:1.在程序中很容易找到挂马的代码,直接删除,或则将你没有传服务器的源程序覆盖一次但反反复复被挂就得深入解决掉此问题了。但这不是最好的解决办法。最好的方法还是找专业做安全的来帮你解决掉 听朋友说 Sine安全 不错 你可以去看看。 清马+修补漏洞=彻底解决 清马 1、找挂马的标签,比如有或<ifra
python注入_Python安全编码 — 代码注入的实践与防范
weixin_39626298的博客
12-04 729
什么是代码注入代码注入攻击指的是任何允许攻击者在网络应用程序中注入源代码,从而得到解读和执行的方法。Python中常见代码注入能够执行一行任意字符串形式代码的eval()函数eval("__import__('os').system('uname -a')")能够执行字符串形式代码块的exec()函数exec("__import__('os').system('uname -a')")反序列化一个...
python中import和__import__的用法详解
IT之一小佬的博客
08-17 443
python中import和__import__的用法详解
python eval_rcnn.py --cfg_file cfgs/default.yaml --eval_mode rcnn --eval_all
最新发布
09-13
命令使用了一个名为 eval_rcnn.py 的 Python 脚本,并传入了三个参数: 1. --cfg_file:表示使用的配置文件,默认为 cfgs/default.yaml; 2. --eval_mode:表示评估模式,此处为 rcnn,表示使用 RCNN 模型进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值