0x00 前言
eval是Python用于执行python表达式的一个内置函数,使用eval,可以很方便的将字符串动态执行。比如下列代码:
>>> eval("1+2")>>> eval("[x for x in range(10)]")[0, 1, 2, 3, 4, 5, 6, 7, 8, 9]当内存中的内置模块含有os的话,eval同样可以做到命令执行:
>>> import os>>> eval("os.system('whoami')")win-20140812chj/administrator当然,eval只能执行Python的表达式类型的代码,不能直接用它进行import操作,但exec可以。如果非要使用eval进行import,则使用 __import__ :
>>> exec('import os')>>> eval('import os')Traceback (most recent call last): File "<stdin>", line 1, in <module> File "<string>", line 1 import os ^SyntaxError: invalid syntax>>> eval("__import__('os').system('whoami')")win-20140812chj/administrator在实际的代码中,往往有使用客户端数据带入eval中执行的需求。比如动态模块的引入,举个栗子,一个在线爬虫平台上爬虫可能有多个并且位于不同的模块中,服务器端但往往只需要调用用户在客户端选择的爬虫类型,并通过后端的exec或者eval进行动态调用,后端编码实现非常方便。但如果对用户的请求处理不恰当,就会造成严重的安全漏洞。
0x01 “安全”使用eval
现在提倡最多的就是使用eval的后两个参数来设置函数的白名单:
Eval函数的声明为 eval(expression[, globals[, locals]])
其中,第二三个参数分别指定能够在eval中使用的函数等,如果不指定,默认为globals()和locals()函数中 包含的模块和函数。
>>> import os>>> 'os' in globals()True>>> eval('os.system(/'whoami/')')win-20140812chj/administrator>>> eval('os.system(/'whoami/')',{},{})Traceback (most recent call last): File "<stdin>", line 1, in <module> File "<string>", line 1, in <module>NameError: name 'os' is not defined如果指定只允许调用abs函数,可以使用下面的写法:
>>> eval('abs(-20)',{'abs':abs},{'abs':abs})>>> eval('os.system(/'whoami/')',{'abs':abs},{'abs':abs})Traceback (most recent call last): File "<stdin>", line 1, in <module> File "<string>", line 1, in <module>NameError: name 'os' is not defined>>> eval('os.system(/'whoami/')')win-20140812chj/administrator使用这种方法来防护,确实可以起到一定的作用,但是, 这种处理方法可能会被绕过 ,从而造成其他问题!
0x02 绕过执行代码1
被绕过的情景如下,小明知道了eval会带来一定的安全风险,所以使用如下的手段去防止eval执行任意代码:
新闻热点
疑难解答
