2012年5月27日，国内web安全公司知道创宇官方微博之一——知道创宇安全研究团队发布预警称傲游浏览器存在0day漏洞，如图1所示：

 

据知道创宇安全研究团队介绍：攻击者利用该0day漏洞可以执行任意远程命令。用户使用该浏览器访问到恶意页面后，会直接下载并运行任意可执行文件（遨游浏览器不会给出任何安全提示）。结合木马和其他技巧，攻击者可以完全控制用户的计算机。

目前受影响的遨游浏览器版本为3.3.9.1000及以下3系列的版本。

根据 CNNIC发布的《第29次中国互联网络发展状况调查统计报告》中显示，截至2011年12月底，中国网民规模达到5.13亿。而根据国内最大的第三方网站流量统计机构cnzz 2012年4月份的统计显示，傲游浏览器目前市场使用率为2.60%，即目前拥有用户一千多万，这则预示着一千多万的用户将面临威胁，在遨游浏览器0day爆发后，目前包括国内最大的免费CDN产品加速乐在内的部分厂商已经在官网发布公告，提醒用户在遨游新版本未发布前，尽量避免使用傲游浏览器访问非知名网站。

可见，本次危害巨大，考虑到傲游浏览器的广泛影响力，知道创宇第一时间联系了官方，其官方也在第一时间进行了回复，并于5月29日进行了版本升级。

不过第二天，知道创宇官方微博再次宣称，傲游浏览器新版本中0day漏洞仍未完美解决。漏洞修复仍然存在缺陷，通过一定的方式可以绕过，同时知道创宇在微博中公布了绕过最新版本的截图。如图2所示：

当前知道创宇研究团队已经与遨游浏览器技术团队进行广泛沟通，遨游浏览器官方正在加紧进行漏洞修复，请广大用户注意关注遨游官方公告。

名词解释：

0day ：0day就是指一些没有公布补丁的漏洞，或者是还没有被漏洞发现者公布出来的漏洞。这种漏洞的利用程序对网络安全具有巨大威胁，因此0day也成为黑客的最爱。

加速乐：加速乐是国内知名的免费CDN、网站保护平台，通过加速乐分布在全国各地的服务器节点，可以有效提高网站访问量，据统计，使用了加速乐的网站，平均可加速200%以上，网站访问量提高19%。

小G@北京 2012/5/15 19:23

eval函数是python最常用于做序列化、反序列化的函数，有些人就会把外部输入的数据，eval一下变成对象，但你不做任何过滤就执行eval的时候可知道，你变成一个很初级的码农了。

命令执行的场景如下：

很简单，code变量的值可能是外部提交的，一旦被你序列化的时候，里面是可以写python代码并被执行了，而且eval执行的代码是在当前命名空间下的。

eval是可以指定执行时的全局和局部的命令空间的：

安全使用eval

eval接受3个参数： eval(source[, globals[, locals]]) -> value

只要将2个命名空间置空即可隔绝上下文的代码进行安全执行表达式。

不过！ 通过builtins内置的方法仍有可能绕过：import('os').system('dir')、 eval("globals()", {}, {}), 直接秒杀

情况看上去似乎很复杂，不好解决问题啊。
此时只能祭出大招了。。
嗯哼，吭叽吭叽地写出一个安全eval的接口，方便开发的同学不需要再考虑这些产品相关性很低而复杂的问题。

safeeval模块因此而诞生，为序列化操作提供安全转换，对eval数据进行词法分析，确保eval的数据中不会包含不合法的TRUE等写法，并且在隔离、安全的环境执行eval。
用法：
myobj = safe_eval(eval_str)

源代码已经开源，大家可以到
https://github.com/greysign/pysec/blob/master/safeeval.py
得到全部信息。