Python 的 eval() 对不受信任的字符串的安全性如何?

2024-12-17 08:30:00
admin
原创
156
摘要:问题描述:如果我使用 eval() 评估 Python 字符串,并且有一个类似这样的类:class Foo(object): a = 3 def bar(self, x): return x + a 如果我不信任该字符串,会有哪些安全风险?特别是:不安全吗eval(string, {"...

问题描述:

如果我使用 eval() 评估 Python 字符串,并且有一个类似这样的类:

class Foo(object):
    a = 3
    def bar(self, x): return x + a

如果我不信任该字符串,会有哪些安全风险?特别是:

  1. 不安全吗eval(string, {"f": Foo()}, {})?也就是说,你能从 Foo 实例到达 os 或 sys 或某些不安全的东西吗?

  2. 不安全吗eval(string, {}, {})?也就是说,我能否完全通过 len 和 list 等内置函数访问 os 或 sys?

  3. 有没有办法让内置命令在 eval 上下文中完全不存在?

有些不安全的字符串,例如“[0] * 100000000”,我不关心,因为最坏的情况下它们会减慢或停止程序。我主要关心的是保护程序外部的用户数据。

显然,eval(string)大多数情况下没有自定义词典是不安全的。


解决方案 1:

eval()将允许恶意数据危害你的整个系统,杀死你的猫,吃掉你的狗并与你的妻子做爱。

最近在 python-dev 列表上有一个关于如何安全地执行此类操作的帖子,结论是:

  • 要做好这件事真的很难。

  • 它需要对 Python 解释器进行修补以阻止多种类型的攻击。

  • 除非你真的想这么做,否则不要这么做。

从这里开始阅读有关挑战的信息:http ://tav.espians.com/a-challenge-to-break-python-security.html

您想在什么情况下使用 eval()?您想让用户能够执行任意表达式吗?还是想以某种方式传输数据?也许可以以某种方式锁定输入。

解决方案 2:

您无法使用这样的黑名单方法来保护 eval。请参阅Eval 确实很危险,了解输入会导致 CPython 解释器分段错误、授予对任何您喜欢的类的访问权限等的示例。

解决方案 3:

您可以使用os内置函数:__import__('os')

对于 python 2.6+,ast 模块可能会有帮助;特别是ast.literal_eval,尽管它取决于您到底想要评估什么。

解决方案 4:

请注意,即使你将空字典传递给 eval(),仍然可能通过一些语法技巧导致 (C)Python 出现段错误。例如,在你的解释器上尝试以下操作:eval("()"*8**5)

解决方案 5:

你最好把这个问题反过来问:

  1. 您想要评估哪种表达?

  2. 你能确保只有符合某些狭义语法的字符串才会被 eval() 吗?

  3. 然后考虑一下是否安全

例如,如果您希望让用户输入代数表达式进行求值,请考虑将其限制为一个字母的变量名、数字以及一组特定的运算符和函数。不要使用包含其他任何内容的 eval() 字符串。

解决方案 6:

Mark Pilgrim 的Dive into Python教程中有一篇关于不安全性的非常好的文章eval()

引自这篇文章:

最后,可以安全地评估不受信任的 Python 表达式,因为“安全”的某些定义在现实生活中并没有太大用处。如果你只是玩玩,这没问题,如果你只传递受信任的输入,这也没问题。但其他任何事情都只是自找麻烦。

相关推荐
  政府信创国产化的10大政策解读一、信创国产化的背景与意义信创国产化,即信息技术应用创新国产化,是当前中国信息技术领域的一个重要发展方向。其核心在于通过自主研发和创新,实现信息技术应用的自主可控,减少对外部技术的依赖,并规避潜在的技术制裁和风险。随着全球信息技术竞争的加剧,以及某些国家对中国在科技领域的打压,信创国产化显...
工程项目管理   1590  
  为什么项目管理通常仍然耗时且低效?您是否还在反复更新电子表格、淹没在便利贴中并参加每周更新会议?这确实是耗费时间和精力。借助软件工具的帮助,您可以一目了然地全面了解您的项目。如今,国内外有足够多优秀的项目管理软件可以帮助您掌控每个项目。什么是项目管理软件?项目管理软件是广泛行业用于项目规划、资源分配和调度的软件。它使项...
项目管理软件   1361  
  信创产品在政府采购中的占比分析随着信息技术的飞速发展以及国家对信息安全重视程度的不断提高,信创产业应运而生并迅速崛起。信创,即信息技术应用创新,旨在实现信息技术领域的自主可控,减少对国外技术的依赖,保障国家信息安全。政府采购作为推动信创产业发展的重要力量,其对信创产品的采购占比情况备受关注。这不仅关系到信创产业的发展前...
信创和国产化的区别   18  
  信创,即信息技术应用创新产业,旨在实现信息技术领域的自主可控,摆脱对国外技术的依赖。近年来,国货国用信创发展势头迅猛,在诸多领域取得了显著成果。这一发展趋势对科技创新产生了深远的推动作用,不仅提升了我国在信息技术领域的自主创新能力,还为经济社会的数字化转型提供了坚实支撑。信创推动核心技术突破信创产业的发展促使企业和科研...
信创工作   18  
  信创技术,即信息技术应用创新产业,旨在实现信息技术领域的自主可控与安全可靠。近年来,信创技术发展迅猛,对中小企业产生了深远的影响,带来了诸多不可忽视的价值。在数字化转型的浪潮中,中小企业面临着激烈的市场竞争和复杂多变的环境,信创技术的出现为它们提供了新的发展机遇和支撑。信创技术对中小企业的影响技术架构变革信创技术促使中...
信创国产化   19  
热门文章
项目管理软件有哪些?
云禅道AD
禅道项目管理软件

云端的项目管理软件

尊享禅道项目软件收费版功能

无需维护,随时随地协同办公

内置subversion和git源码管理

每天备份,随时转为私有部署

免费试用