Это безопасное использование python eval ()?

Question

Если злоумышленник может контролировать значение attacker_controlled_nasty_variable, уязвим ли этот сегмент кода?

dic={"one":1,
      "nasty":attacker_controlled_nasty_variable,
     }
store=str(dict)
...
dic=eval(store)

Answer 1

Используйте ast.literal_eval() вместо eval().

Answer 2

Да.Его можно заменить на объект, имеющий метод __repr__(), который либо сам имеет полезную нагрузку, либо возвращает строку, которая может быть небезопасной при передаче в eval().

Подтверждение концепции:

class MyClass(object):
  def __repr__(self):
    return 'os.system("format c:")'

bad = [MyClass()]
print str(bad)

Answer 3

Это безопасно, если вы можете быть уверены, что attacker_controlled_nasty_variable никогда не будет объектом, где злоумышленник может контролировать __repr__ (или __str__), поскольку он мог бы в противном случае ввести код Python.

Однако лучше использовать repr(dic) вместо str(dic), поскольку ожидается, что только repr вернет действительный код Python.

Дополнительно - как упоминалось @payne - используйте более безопасный ast.literal_eval() вместо eval().

Answer 4

Давайте попробуем:

>>> attacker_controlled_nasty_variable="`cat /etc/passwd`"
>>> dic={"one":1,
...     "nasty":attacker_controlled_nasty_variable,
... }
>>> store = repr(dic)
>>> store
"{'nasty': '`cat /etc/passwd`', 'one': 1}"
>>> dic=eval(store)
>>> dic
{'nasty': '`cat /etc/passwd`', 'one': 1}

>>> attacker_controlled_nasty_variable="'hello',}"
>>> dic={"one":1,
...     "nasty":attacker_controlled_nasty_variable,
... }
>>> repr(dic)
'{\'nasty\': "\'hello\',}", \'one\': 1}'
>>> eval(repr(dic))
{'nasty': "'hello',}", 'one': 1}

Возможно, вы захотите попробовать больше дел, но эмпирически похоже, что __repr__ правильно цитирует содержимое.