Python 的 eval() 对不受信任的字符串的安全性如何?
- 2024-12-17 08:30:00
- admin 原创
- 157
问题描述:
如果我使用 eval() 评估 Python 字符串,并且有一个类似这样的类:
class Foo(object):
a = 3
def bar(self, x): return x + a
如果我不信任该字符串,会有哪些安全风险?特别是:
不安全吗
eval(string, {"f": Foo()}, {})
?也就是说,你能从 Foo 实例到达 os 或 sys 或某些不安全的东西吗?不安全吗
eval(string, {}, {})
?也就是说,我能否完全通过 len 和 list 等内置函数访问 os 或 sys?有没有办法让内置命令在 eval 上下文中完全不存在?
有些不安全的字符串,例如“[0] * 100000000”,我不关心,因为最坏的情况下它们会减慢或停止程序。我主要关心的是保护程序外部的用户数据。
显然,eval(string)
大多数情况下没有自定义词典是不安全的。
解决方案 1:
eval()
将允许恶意数据危害你的整个系统,杀死你的猫,吃掉你的狗并与你的妻子做爱。
最近在 python-dev 列表上有一个关于如何安全地执行此类操作的帖子,结论是:
要做好这件事真的很难。
它需要对 Python 解释器进行修补以阻止多种类型的攻击。
除非你真的想这么做,否则不要这么做。
从这里开始阅读有关挑战的信息:http ://tav.espians.com/a-challenge-to-break-python-security.html
您想在什么情况下使用 eval()?您想让用户能够执行任意表达式吗?还是想以某种方式传输数据?也许可以以某种方式锁定输入。
解决方案 2:
您无法使用这样的黑名单方法来保护 eval。请参阅Eval 确实很危险,了解输入会导致 CPython 解释器分段错误、授予对任何您喜欢的类的访问权限等的示例。
解决方案 3:
您可以使用os
内置函数:__import__('os')
。
对于 python 2.6+,ast 模块可能会有帮助;特别是ast.literal_eval
,尽管它取决于您到底想要评估什么。
解决方案 4:
请注意,即使你将空字典传递给 eval(),仍然可能通过一些语法技巧导致 (C)Python 出现段错误。例如,在你的解释器上尝试以下操作:eval("()"*8**5)
解决方案 5:
你最好把这个问题反过来问:
您想要评估哪种表达?
你能确保只有符合某些狭义语法的字符串才会被 eval() 吗?
然后考虑一下是否安全。
例如,如果您希望让用户输入代数表达式进行求值,请考虑将其限制为一个字母的变量名、数字以及一组特定的运算符和函数。不要使用包含其他任何内容的 eval() 字符串。
解决方案 6:
Mark Pilgrim 的Dive into Python教程中有一篇关于不安全性的非常好的文章eval()
。
引自这篇文章:
最后,可以安全地评估不受信任的 Python 表达式,因为“安全”的某些定义在现实生活中并没有太大用处。如果你只是玩玩,这没问题,如果你只传递受信任的输入,这也没问题。但其他任何事情都只是自找麻烦。