项目上线需要通过奇安信代码扫描,缺陷信息主要如下:
python允许用户动态的执行指令,当这一功能被恶意用户利用,就会发生动态解析代码攻击。
示例给的是:
op = request.GET['operation']
result = eval(op)
这个解决办法很简单:
直接把传过来的字符串 改为
import ast
op = request.GET['operation']
result = ast.literal_eval(op)
有帮助的话,记得帮我点赞哦~
项目上线需要通过奇安信代码扫描,缺陷信息主要如下:
python允许用户动态的执行指令,当这一功能被恶意用户利用,就会发生动态解析代码攻击。
示例给的是:
op = request.GET['operation']
result = eval(op)
这个解决办法很简单:
直接把传过来的字符串 改为
import ast
op = request.GET['operation']
result = ast.literal_eval(op)
有帮助的话,记得帮我点赞哦~