python代码安全性问题,了解Python Pickle不安全性

最新推荐文章于 2022-05-14 07:21:56 发布
最新推荐文章于 2022-05-14 07:21:56 发布
阅读量236 收藏
点赞数
文章标签: python代码安全性问题

It states in the Python documentation that pickle is not secure and shouldn't parse untrusted user input. If you research this; almost all examples demonstrate this with a system() call via os.system.

Whats not clear to me, is how os.system is interpreted correctly without the os module being imported.

>>> import pickle

>>> pickle.loads("cos\nsystem\n(S'ls /'\ntR.") # This clearly works.

bin boot cgroup dev etc home lib lib64 lost+found media mnt opt proc root run sbin selinux srv sys tmp usr var

0

>>> dir() # no os module

['__builtins__', '__doc__', '__name__', '__package__', 'pickle']

>>> os.system('ls /')

Traceback (most recent call last):

File "", line 1, in

NameError: name 'os' is not defined

>>>

Can someone explain?

解决方案

The name of the module (os) is part of the opcode, and pickle automatically imports the module:

# pickle.py

def find_class(self, module, name):

# Subclasses may override this

__import__(module)

mod = sys.modules[module]

klass = getattr(mod, name)

return klass

Note the __import__(module) line.

The function is called when the GLOBAL 'os system' pickle bytecode instruction is executed.

This mechanism is necessary in order to be able to unpickle instances of classes whose modules haven't been explicitly imported into the caller's namespace.

weixin_39923623
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python3 pickle对象串行化代码实例解析
09-17
使用pickle时需要注意安全问题,因为pickle可以执行任意的Python代码,因此不应该用于处理来自不可信源的数据。此外,尽管picklePython版本之间有一定的兼容性,但不保证所有版本都能正确处理所有对象。在跨Python...
Python中利用pickle保存变量的实例
09-18
此外,由于安全考虑,不要直接反序列化来自不可信来源的数据,因为它可能会导致执行任意代码。 总结一下,`pickle`模块在Python中提供了序列化和反序列化功能,这对于持久化变量、跨进程通信以及将Python对象转换为...
警惕 Python 中少为人知的十个安全陷阱
m0_54214980的博客
02-14 2573
Python 开发者们在使用标准库和通用框架时,都以为自己的程序具有可靠的安全性。然而,在 Python 中,就像在任何其它编程语言中一样,有一些特性可能会被开发者们误解或误用。通常而言,只有极少的微妙之处或细节会使开发者们疏忽大意,从而在代码中引入严重的安全漏洞。 在这篇博文中,我们将分享在实际 Python 项目中遇到的 10 个安全陷阱。我们选择了一些在技术圈中不太为人所知的陷阱。通过介绍每个问题及其造成的影响,我们希望提高人们对这些问题的感知,并提高大家的安全意识。如果你正在使用这些特性,请一
关于python安全性问题
weixin_30840253的博客
11-01 945
收集总结了一下python安全方面的知识点以及近年来的相关漏洞,如果有需要修正或补充的地方,欢迎各位师傅的指出。 常见web漏洞在python中的示例。 xss python下的xss其原理跟php是一样的,django近年的例子如下: CVE-2017-12794,此例中通过抛出异常造成xss。 sql注入 一般来说使用django自带的操作数据库api是不会造成...
不安全的反序列化_Python Pickle 反序列化安全问题
weixin_39595487的博客
12-11 845
Python Pickle反序列化安全问题python中,相比于存储一个数字或者字符串,如果我们想要存储一个字典、列表或者对象,似乎并没有那么容易。但python和PHP等其他语言一样,也提供了一种序列化和反序列化的方法用来解决这个问题:我们可以把他们“序列化”成一种符合特殊规范的字符串,然后将其存储到一个文件当中。当我们想要获取该元素的时候,可以从文件中读取对应的字符串来进行“反序列...
python代码安全性问题_这个python代码对注入安全吗?
weixin_39870238的博客
01-14 264
我在Python中有一个服务器/客户机套接字对。服务器接收特定的命令,然后准备响应并将其发送到客户端。在在这个问题中,我关心的只是代码中的可能的注入:如果可以要求服务器对第二个参数做一些奇怪的事情——如果对命令内容的控制不足以避免不希望发生的行为。在编辑:根据收到的建议在windows上调用check_output时添加了参数shell=True。不应该是危险的,因为命令是一个普通的'dir'。在...
Python Pickle反序列化带来的安全问题
chuancuili8770的博客
01-16 315
0x00 前言 数据序列化,这是个很常见的应用场景,通常被广泛应用在数据结构网络传输,session存储,cache存储,或者配置文件上传,参数接收等接口 处。主要作用是为了能够让数据在存储或者传输的时候能够单单只用string的类型去表述相对复杂的数据结构,方便应用所见即所得...
Python使用pickle模块报错EOFError Ran out of input的解决方法
09-20
可以考虑使用如json或msgpack等其他序列化库,它们可能提供更清晰的错误处理和更强的安全性。 在处理这个问题时,理解错误的根本原因至关重要。通常,EOFError与文件结束、数据损坏或不兼容性有关。通过使用异常...
Python pickle模块用法实例
09-22
- 序列化可能会导致安全问题,因为任意的Python对象可以被重建。在处理不受信任的输入时,应当谨慎使用pickle模块。 - 自我引用的列表或其他循环引用的对象可以被pickle模块处理,但在反序列化时需要确保内存足够...
python pickle存储、读取大数据量列表、字典数据的方法
09-19
Python的`pickle`模块是处理序列化和反...最后,安全方面,`pickle`加载未知来源的数据可能会引发安全问题,因为它可以执行任意的Python代码。因此,除非完全信任数据来源,否则不建议直接加载未经验证的`pickle`文件。
python pickle不安全
weixin_34275734的博客
12-22 152
Pickle使用一个简单的基于栈的虚拟机来记录指令用于重建对象 import pickle pickle.loads("cos\nsystem\n(S'ls ~'\ntR.") # This will run: ls ~ 链接: http://nadiana.com/python-pickle-insecure http://www.owasp.org.cn/OWASP_Events/d...
python防反编译_Python的反编译与Python代码安全性
weixin_39803552的博客
11-23 189
暂时发现Python的优点:简单易学易上手(作为优秀脚本语言应有的特质)面向对象的支持快速开发与调试丰富且功能强大的各种功能库的支持但是,作为脚本语言,基本上只要是能拿到pyc和pyo文件,便是等于拿到了源码,用uncompyle2反编译之后,缺少的只有一些注释。当然Python也是可以变异成exe或者是Linux的可执行文件的,但是,如果是多语言编程的场景,Python所担任的角色,更多的是与上...
python pickle反序列化漏洞_Python Pickle反序列化带来的安全问题
weixin_39683021的博客
12-08 208
Python Pickle反序列化带来的安全问题GaRY | 2013-01-14 15:00Author: wofeiwo#80sec.com数据序列化,这是个很常见的应用场景,通常被广泛应用在数据结构网络传输,session存储,cache存储,或者配置文件上传,参数接收等接口处。主要作用是为了能够让数据在存储或者传输的时候能够单单只用string的类型去表述相对复杂的数据结构,方便应用所...
pickle序列化存在安全隐患
ningyanggege的博客
02-23 251
python程序编写应注意哪些问题_Python的安全问题,你必须注意!总结的10个Python常见安全漏洞...
weixin_39759995的博客
11-28 133
编写安全的代码很困难,当你学习一门编程语言、一个模块或框架时,你会学习其使用方法。在考虑安全性时,你需要考虑如何避免代码被滥用,Python也不例外,即使在标准库中,也存在着许多糟糕的实例。然而,许多Python开发人员却根本不知道这些。以下是我总结的10个Python常见安全漏洞,排名不分先后。1、输入注入注入攻击影响广泛且很常见,注入有很多种类,它们影响所有的语言、框架和环境。SQL注入是直接...
提醒!Pythonpickle 模块可能导致命令执行
somenzz的博客
05-14 270
你好,我是征哥,提到 Pythonpickle 模块,我经常用它保存运行时的对象,以便重启程序后可以恢复到之前的状态。今天发现了它在恢复 Python 对象时存在远程命令执行的安全问题,所以后面如果你的数据来自用户输入,那最好不用 pickle,用 json,官方文档也有警告和建议:接下来来看一下它是如何导致命令执行的。Pythonpickle 可以很方便的把...
【转引】python代码安全指南
langhailove_2008的博客
02-14 415
危险的函数调用 eval,任何时候都不要使用eval,这个函数会到时代码上下文出现不可预期的变化,并且在eval的内容不确定时可能会导致黑客直接通过植入代码控制进程甚至是服务器。如非得使用该函数,推荐使用 ast.literal_eval 来进行操作。 exec,execfile, 该statement用于在python中执行了一段代码并控制上下文,并可能导致产生与eval相同的问题。 pick...
python代码安全性问题_深入理解 GIL:如何写出高性能及线程安全的 Python 代码
weixin_35671421的博客
01-29 201
6岁时,我有一个音乐盒。我上紧发条,音乐盒顶上的芭蕾舞女演员就会旋转起来,同时,内部装置发出“一闪一闪亮晶晶,满天都是小星星”的叮铃声。那玩意儿肯定俗气透了,但我喜欢那个音乐盒,我想知道它的工作原理是什么。后来我拆开了,才看到它里面一个简单的装置,机身内部镶嵌着一个拇指大小的金属圆筒,当它转动时会拨弄钢制的梳齿,从而发出这些音符。在一个程序员具备的所有特性中,想探究事物运转规律的这种好奇心必不可少...
pythonpickle
最新发布
04-02
picklepython的标准模块之一,用于序列化和反序列化python对象。...此外,pickle模块还存在安全性问题,因为它可以反序列化任何python对象,包括恶意代码。因此,在使用pickle模块时需要注意安全性

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值