ah！其實(shí)沒(méi)有標(biāo)題說(shuō)的那么嚴(yán)重！

不過(guò)下面可是我們開(kāi)發(fā)產(chǎn)品初期的一些血淋淋的案例，更多的安全威脅可以看看北北同學(xué)的《python hack》PPT，里面提及了不只命令執(zhí)行的威脅，那些都是我們親身經(jīng)歷的代碼。

千萬(wàn)要記得執(zhí)行命令的時(shí)候，不要信任其他傳入數(shù)據(jù)就行了，既然意識(shí)到問(wèn)題，那么修復(fù)方法是多種多樣的。

在我們的系統(tǒng)中，多處出現(xiàn)問(wèn)題然后修修補(bǔ)補(bǔ)是不靠譜的，那么我們需要一個(gè)通用的安全執(zhí)行接口，這個(gè)接口過(guò)后更新進(jìn)來(lái)。

此外，我們?cè)陂_(kāi)發(fā)新功能的時(shí)候，也要掌握安全編程的規(guī)范技巧，這些技巧不局限在命令執(zhí)行安全。

總結(jié)了一下，就是一下幾點(diǎn)要素啦：

?命令執(zhí)行的字符串不要去拼接輸入的參數(shù)，非要拼接的話，要對(duì)輸入?yún)?shù)進(jìn)行白名單過(guò)濾

?對(duì)傳入的參數(shù)一定要做類型校驗(yàn)，例如知道是數(shù)字型的，就int測(cè)試一下，會(huì)安全許多

?對(duì)于拼接串，也要嚴(yán)格一些，例如int類型參數(shù)的拼接，對(duì)于參數(shù)要用%d，不要%s。

?使用subprocess來(lái)傳入多個(gè)參數(shù)，就可以防止命令行注入

拿我們?cè)?jīng)的代碼(當(dāng)時(shí)是最新版=，=時(shí)過(guò)境遷了)存在的bug來(lái)做教程：

示例1(變量沒(méi)過(guò)濾)：

a.py

site變量其實(shí)是個(gè)url格式的串，未經(jīng)過(guò)濾。由于老版本中site格式?jīng)]有出現(xiàn)問(wèn)題，新版本支持url格式，就可以傳入各種符號(hào)了。

復(fù)制代碼 代碼如下:

cmd = 'python /a.py --task_id=%s --site=%s -b' % (taski, site)

示例2(不牢靠的過(guò)濾)：

util/update.py

downloadFile函數(shù)盡管對(duì)fileName使用了過(guò)濾，但繞過(guò)的方法很多。

linux下面的命令分隔方法非常多，黑名單法是不牢靠的。

復(fù)制代碼 代碼如下:

fileName = downloadInfo[0]

fileName = fileName.replace(';','').replace('&','') #過(guò)濾文件名

localMd5 = os.popen('md5sum %s%s' %(path,fileName)).read()

修復(fù)的方法就是對(duì)fileName進(jìn)行白名單格式檢查，比如，只允許出現(xiàn)字符數(shù)字以及.。

示例3(不安全的格式化字符串)：

b.py

target是個(gè)url格式的串，未經(jīng)過(guò)濾。并且還有潛在威脅，deep使用了%s，其實(shí)它必須是個(gè)int，使用%d才對(duì)，假如以后有機(jī)會(huì)感染deep變量，那就xxoo了。

復(fù)制代碼 代碼如下:

cmd = 'python b.py --task_id "%s" -s %s --deep %s --check_level %s -b' %(taski,target,deep,check_level)

示例4(無(wú)法利用的命令注入)：

c.py

site_report函數(shù)，tid參數(shù)未經(jīng)格式化，目前無(wú)法利用是因?yàn)橛幸粋€(gè)查詢數(shù)據(jù)庫(kù)的語(yǔ)句：

get_object_or_404(Task, get_domain_query(request), id=tid)#這里會(huì)讓帶了特殊符號(hào)的tid查不到記錄，所以變?yōu)?04，暫時(shí)保護(hù)了位于下文的cmd拼接。

一旦該語(yǔ)句變更，就會(huì)導(dǎo)致新的命令注入漏洞

cmd = 'sh /opt/report %s >/tmp/export_report.log 2>&1' % tid

本文標(biāo)題: python的常見(jiàn)命令注入威脅

本文地址: http://www.cppcns.com/jiaoben/python/92270.html

總結(jié)

以上是生活随笔為你收集整理的python注入_python的常见命令注入威胁的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。