Python raw_input()攻击远程代码执行
我正在寻找一种方法来使用raw_input()提示符执行另一个对象的代码,以确保以安全的方式执行 我有两个类,第一个类有一个我不应该调用的方法,既不是从外部调用,也不是从内部调用;第二个有一个解析用户请求的方法,它是这样构建的:“调用arg1 arg2的方法…”。 例如:“添加5 3”。方法“do_add”应以5和3作为参数调用Python raw_input()攻击远程代码执行,python,exploit,Python,Exploit,我正在寻找一种方法来使用raw_input()提示符执行另一个对象的代码,以确保以安全的方式执行 我有两个类,第一个类有一个我不应该调用的方法,既不是从外部调用,也不是从内部调用;第二个有一个解析用户请求的方法,它是这样构建的:“调用arg1 arg2的方法…”。 例如:“添加5 3”。方法“do_add”应以5和3作为参数调用 class Obj1 : # ... def do_forbidden(self) : # Not supposed to exec
class Obj1 :
# ...
def do_forbidden(self) :
# Not supposed to execute
# ...
class Obj2 :
# ...
def process_cmd(self, cmd) :
words = cmd.split()
if len(words) > 0 :
mthdname = 'do_' + words[ 0 ]
args = words[1:]
if hasattr(self, mthdname):
mthd = getattr(self, mthdname)
mthd(*args)
# ...
obj1 = Obj1()
obj2 = Obj2()
# ...
cmd = raw_input("Command : ")
obj2.process_cmd(cmd)
如果确实有可能利用此漏洞,攻击者可以“猜测”其中一个方法的名称来执行此漏洞,那么前缀“do_uu”是否是一种良好的保护?不可能利用此漏洞进行攻击。当然,除非
do\uuprocess\u cmdinput