Sicherheit von Python eval() auf nicht vertrauenswürdigen strings?

Wenn ich die Bewertung ein Python-string mit eval(), und eine Klasse haben wie:

class Foo(object):
    a = 3
    def bar(self, x): return x + a

Was sind die Sicherheitsrisiken, wenn ich kein Vertrauen in die Schnur? Insbesondere:

Ist eval(string, {"f": Foo()}, {}) unsicher? Das ist, können Sie erreichen, os oder sys oder etwas unsicher von einem Foo-Instanz?
Ist eval(string, {}, {}) unsicher? Das ist, kann ich erreichen, os oder sys völlig aus gelieferten wie len und Liste?
Ist es eine Möglichkeit zu gelieferten überhaupt nicht vorhanden in der eval-Kontext?

Gibt es einige unsichere Zeichenfolgen wie "[0] * 100000000" ich nicht kümmern, denn im schlimmsten Fall Sie verlangsamen/stoppen Sie das Programm. Ich bin vor allem besorgt über den Schutz von Nutzer-Daten extern auf dem Programm.

Offensichtlich eval(string) ohne eigene Wörterbücher ist unsicher, in den meisten Fällen.

ja, wenn es import sys sys.dostuff in die Zeichenfolge, die Sie tun eval auf und dem Sie nicht Vertrauen die Saiten Zeug bekommen kann, echt hässlich.
eval hat die nette Eigenschaft, die es erlaubt nur Ausdrücke. So Sachen wie =, importieren und drucken sind nicht erlaubt.
Versuchen eval('__import__("sys").stdout.write("Hello Joe")')

InformationsquelleAutor | 2009-03-19

17

Können Sie nicht sicher eval mit einem blacklist-Ansatz. Sehen Eval ist wirklich gefährlich Beispiele für die Eingabe, wird segfault den CPython-interpreter, geben Sie Zugriff auf jede Klasse, die Sie mögen, und so weiter.

InformationsquelleAutor Ned Batchelder
46

eval() wird böswillige Daten, zu gefährden das gesamte system, zu töten, Ihre Katze, Essen Sie Ihren Hund und machen die Liebe zu Ihrer Frau.

Gab es vor kurzem einen thread darüber, wie das zu tun diese Art der Sache sicher auf die python-dev-Liste, und die Schlussfolgerungen waren:
- Es ist wirklich schwer, dies richtig tun.
- Es erfordert, dass die patches an den python-interpreter zu blockieren viele Klassen von Angriffen.
- Tun Sie es nicht, es sei denn, Sie wirklich wollen.
Starten hier Lesen Sie über die Herausforderung: http://tav.espians.com/a-challenge-to-break-python-security.html

Welche situation möchten Sie mit eval() in? Sind Sie wollen ein Benutzer in der Lage sein, beliebige Ausdrücke? Oder sind Sie wollen, um Daten zu übertragen, die in irgendeiner Weise? Vielleicht ist es möglich, zum sperren der Eingabe in irgendeiner Weise.
- +1: Wer ist die böswillige person einlegen der bösartige code, dass man eval()-ing? Finden Sie, dass die person-im ernst. Die meisten der 'eval ist unsicher" ist hypothetisch-hand-waving über einige böse person, dass kann niemand wirklich identifizieren.
- Lott — Ist das nicht eine der treibenden Ideen hinter der Sicherheit auf verhindern schlimme Dinge passiert, anstatt hinterher in der Hoffnung Sie können sowohl identifizieren als auch die Angreifer und Sie davon überzeugen, es nicht wieder zu tun? Warum entmutigen guter Praktiken?
- Jede situation, wo eine person auf die größere internet zu schreiben, nicht vertrauenswürdigen code zur Ausführung auf Ihrem System erfordert, dass nicht Vertrauenswürdige Personen werden nicht in der Lage anzugreifen. "Wer ist diese person" - wenn Sie schrieb etwas unsicher mit eval() und ich wusste? Es wäre mir zu zeigen, Sie sollten nicht getan haben.
InformationsquelleAutor Jerub
10

Können Sie bekommen zu os Verwendung von builtin-Funktionen: __import__('os').

Für python 2.6+, die ast Modul helfen kann; insbesondere ast.literal_eval, obwohl es genau hängt davon ab, was Sie wollen, eval.

InformationsquelleAutor John Fouhy
6

Beachten Sie, dass selbst wenn Sie leer Wörterbücher zu eval(), es ist immer noch möglich, segfault (C)Python mit einigen syntax-tricks. Zum Beispiel, versuchen Sie dies auf Ihre Dolmetscher: eval("()"*8**5)
- Kannst du ein Beispiel für solche tricks?
- Boah, warum verursachen, dass ein segfault?
- Es läuft der compiler den stack.
InformationsquelleAutor Benjamin Peterson
4

Sind Sie wahrscheinlich besser dran, Dreh die Frage um:
1. Welche Art von Ausdrücken sind Sie wollen, eval?
2. Können Sie versichern, dass nur Zeichenfolgen, die bestimmte eng definierte syntax eval()d?
3. Dann zu prüfen, ob , dass ist sicher.
Zum Beispiel, wenn Sie wollen, lassen Sie die Benutzer geben Sie einen algebraischen Ausdruck für die Bewertung, betrachten und beschränkt Sie auf einen Buchstaben Variablennamen, zahlen, und einen bestimmten Satz von Operatoren und Funktionen. Nicht eval () - strings mit etwas anderes.
- Oder, betrachten Sie dieses: den Menschen finden, der hält das Inverkehrbringen schädlicher code in Ihre eval-Ausdrücke. Erziehen, dass die person auf die Folgen Ihrer anti-Soziales Verhalten. Ernst. Wer setzt den code in der eval-Ausdrücke?
- Wenn er schreibt, Kryptografie-Programme ist es entweder Carol oder Eve, und für die Handhabung von E-Mails sein [email protected] aber ich weiß nicht, ob wir jemals identifiziert, die es im Allgemeinen Fall.
- Ich gehe einen Schritt weiter und Fragen warum wollen Sie dies überhaupt tun.
- Dies ist ein gutes video mit dem Titel "28c3: Die Wissenschaft der Unsicherheit" beschreiben die Schnittstellen zwischen den Programmen. http://www.youtube.com/watch?v=3kEfedtQVOY Es empfiehlt input-Meldungen werden entweder regelmäßig oder Kontext-frei.
InformationsquelleAutor MarkusQ
2

Gibt es eine sehr gute Artikel über die un-Sicherheit eval() in Mark Pilgrim Dive into Python tutorial.

Zitiert aus diesem Artikel:

In das Ende, es ist möglich, sicher
bewerten nicht Vertrauenswürdige Python-Ausdrücke,
für eine bestimmte definition von "sicher", dass
stellt sich heraus, nicht allzu nützlich in
realen Leben. Es ist in Ordnung, wenn Sie nur
rund um das Spiel, und es ist gut, wenn Sie
immer nur pass-it-trusted-Eingang. Aber
alles andere ist nur zu Fragen für
ärger.
- Der link ist nicht mehr gültig.
- Danke, es scheint, dass Mark bewegt hat, seine Domäne. Ich habe aktualisiert die links.
InformationsquelleAutor Tim Pietzcker

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.