Python注入-有这样的事情吗？_Python_Code Injection

Python注入-有这样的事情吗？

python

Python注入-有这样的事情吗？,python,code-injection,Python,Code Injection,我在自己的网站上做了一些渗透测试，并对常见漏洞进行了大量研究 SQL注入经常出现，但我想知道，可能有python注入这样的东西吗？例如，假设一个web表单提交了一个值，该值是在某个python后端应用程序的字典中输入的。如果输入没有正确处理，python代码可能会被注入并在应用程序中执行吗是否有一种方法可以轻松且无害地测试此漏洞-如果它确实是一个潜在的漏洞？我似乎找不到很多关于这个主题的web资源。这完全取决于您如何处理来自web表单的输入。在正常使用中，表单被编码为x-www-form-ur

我在自己的网站上做了一些渗透测试，并对常见漏洞进行了大量研究

SQL注入经常出现，但我想知道，可能有python注入这样的东西吗？例如，假设一个web表单提交了一个值，该值是在某个python后端应用程序的字典中输入的。如果输入没有正确处理，python代码可能会被注入并在应用程序中执行吗

是否有一种方法可以轻松且无害地测试此漏洞-如果它确实是一个潜在的漏洞？我似乎找不到很多关于这个主题的web资源。

这完全取决于您如何处理来自web表单的输入。在正常使用中，表单被编码为

x-www-form-urlencoded

或

json

——这两种格式都可以完全安全地反序列化到python字典中。当然，它们也可能以不安全的方式进行反序列化——请确保使用专门用于正确处理此问题的库（例如

urlparse

或

json

）

因此，输入是否安全完全取决于应用程序如何处理它。（例如，如果应用程序使用基于解码dict的输入的

eval

，则不安全）

至于这方面的自动化测试——我不知道有什么方法可以做到这一点，但是这些问题通常很容易通过遵循正常的最佳实践来缓解（不要

eval

你不信任的代码，等等）

Python注入？当然，如果您的代码中有

eval（）

。或者如果您从不受信任的源中取消拾取对象。如果应用程序对任意字符串输入使用

eval（）

，则可能会有人输入

“\uuuu import\uuuuu（'subprocess'）。call（['rm'，'-rf'，'--no preserve root']）”

，这可能会有一些“意外的”副作用。或运行操作系统功能。