小G@北京 2012/5/15 19:23

eval函数是python最常用于做序列化、反序列化的函数，有些人就会把外部输入的数据，eval一下变成对象，但你不做任何过滤就执行eval的时候可知道，你变成一个很初级的码农了。

命令执行的场景如下：

很简单，code变量的值可能是外部提交的，一旦被你序列化的时候，里面是可以写python代码并被执行了，而且eval执行的代码是在当前命名空间下的。

eval是可以指定执行时的全局和局部的命令空间的：

安全使用eval

eval接受3个参数： eval(source[, globals[, locals]]) -> value

只要将2个命名空间置空即可隔绝上下文的代码进行安全执行表达式。

不过！ 通过builtins内置的方法仍有可能绕过：import('os').system('dir')、 eval("globals()", {}, {}), 直接秒杀

情况看上去似乎很复杂，不好解决问题啊。
此时只能祭出大招了。。
嗯哼，吭叽吭叽地写出一个安全eval的接口，方便开发的同学不需要再考虑这些产品相关性很低而复杂的问题。

safeeval模块因此而诞生，为序列化操作提供安全转换，对eval数据进行词法分析，确保eval的数据中不会包含不合法的TRUE等写法，并且在隔离、安全的环境执行eval。
用法：
myobj = safe_eval(eval_str)

源代码已经开源，大家可以到
https://github.com/greysign/pysec/blob/master/safeeval.py
得到全部信息。

小G@北京 2012/5/15 18:45

ah！其实没有标题说的那么严重！

不过下面可是我们开发产品初期的一些血淋淋的案例，更多的安全威胁可以看看北北同学的《python hack》PPT，里面提及了不只命令执行的威胁，那些都是我们亲身经历的代码。

千万要记得执行命令的时候，不要信任其他传入数据就行了，既然意识到问题，那么修复方法是多种多样的。

在我们的系统中，多处出现问题然后修修补补是不靠谱的，那么我们需要一个通用的安全执行接口，这个接口过后更新进来。

此外，我们在开发新功能的时候，也要掌握安全编程的规范技巧，这些技巧不局限在命令执行安全。

总结了一下，就是一下几点要素啦：

• 命令执行的字符串不要去拼接输入的参数，非要拼接的话，要对输入参数进行白名单过滤
• 对传入的参数一定要做类型校验，例如知道是数字型的，就int测试一下，会安全许多
• 对于拼接串，也要严格一些，例如int类型参数的拼接，对于参数要用%d，不要%s。
• 使用subprocess来传入多个参数，就可以防止命令行注入

Read More »

现在正在进行的是在仙剑奇侠传，赵林灵儿家乡进行封闭开发 -- 云南大理古城，点苍山脚下，洱海之畔，蝴蝶泉边 ;到丽江只有4小时车程。

知道创宇的童鞋们从各地齐聚在东临碧波荡漾的洱海，西倚常年青翠的苍山的大理古城啦！