gpt4 book ai didi

Python 注入(inject) - 有这样的东西吗?

转载 作者:行者123 更新时间:2023-11-28 18:29:39 26 4
gpt4 key购买 nike

我一直在自己的网站上进行一些渗透测试,并且对常见漏洞进行了大量研究。

SQL 注入(inject)经常出现,但我想知道,是否可能存在 python 注入(inject)这样的事情?例如,一个 Web 表单提交了一个在某些 Python 后端应用程序的字典中输入的值。如果没有正确处理该输入,是否有可能在应用程序中注入(inject)并执行 Python 代码?

是否有一种方法可以轻松且无害地测试此漏洞 - 如果它确实是一个潜在漏洞?我似乎找不到很多关于这个主题的网络资源。

最佳答案

这完全取决于您对来自网络表单的输入做什么。在正常使用中,表单被编码为 x-www-form-urlencodedjson -- 这两种格式都可以反序列化为 python 字典完全安全。当然,它们也可能以不安全的方式反序列化——确保您使用专门用于正确处理此问题的库(例如 urlparsejson).

由此看来,输入是否安全完全取决于应用程序对其进行的操作。 (例如,如果应用程序将 eval 与基于解码字典的输入一起使用,则安全。

至于对此的自动化测试——我不知道有什么方法可以做到这一点,但这些问题通常很容易通过遵循正常的最佳实践来缓解(不要eval 你不信任的代码,等等)

关于Python 注入(inject) - 有这样的东西吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38416671/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com