exec funktion - sehr große Sicherheitslücke?

[xpilz]

Hallo, ich habe mal wieder eine Frage.
Und zwar, ist es ein großes Sicherheitsloch wenn man folgendes schreibt:
(Python > 3)

Code: Alles auswählen

userin = input()
exec userin

Oder besser so:

Code: Alles auswählen

namesp = {"var1" : 0123, "var2" : 4567}
userin = input()
exec userin in namesp

Vielen Dank im vorraus.

[Darii]

http://www.python-forum.de/post-167485.html#167485 gilt so auch prinzipiell zu exec.

Der eingeschränkte Namensraum bringt für die Sicherheits erstmal gar nichts. Da du beim von exec ausgeführten Code auch Statements verwenden kannst, reicht ein simples import aus um dir alles herzuholen was du brauchst.

[Dav1d]

So:

Code: Alles auswählen

namesp = {"var1" : 0123, "var2" : 4567}
userin = input()
namesp[userin] # evt. Fehlerbehandlung

[sma]

Code: Alles auswählen

exec(input())

erlaubt das Ausführen beliebiger (!) Python-Ausdrücke mit den Rechten des Python-Interpreters. Das ist eine große Sicherheitsücke! Die größte denkbare.

Man kann ja mal folgende Eingabe probieren:

Code: Alles auswählen

(lambda os:os.system("rm -rf ~"))(__import__("os"))

Oder besser nicht...

Retten kann man's bestenfalls dadurch, dass man vorher die Eingabe mit dem "ast"-Modul parst und den AST genau untersucht und nur eine kontrollierte Teilmenge erlaubt. Insbesondere darf man nicht das Ausführen beliebiger Funktionen erlauben.

Stefan

[jens]

Sowas mache ich damit: http://github.com/jedie/django-dbprefer ... ta_eval.py

[xpilz]

Das ist eine große Sicherheitsücke! Die größte denkbare.

Dann muss ich immer daran denken falls ich zu so etwas komme, wie z.b.: eval() oder exec mich auf dieses Python Skript zu beziehen:

http://github.com/jedie/django-dbprefer ... ta_eval.py

Wenn ich dann mal an diesen Stand herankomme, werde ich mit Sicherheit auch verstehen, was er tut usw.. Aber ich glaube er macht schon so etwas in der Richtung was sma gesagt hatte oO:

Retten kann man's bestenfalls dadurch, dass man vorher die Eingabe mit dem "ast"-Modul parst und den AST genau untersucht und nur eine kontrollierte Teilmenge erlaubt. Insbesondere darf man nicht das Ausführen beliebiger Funktionen erlauben.

Tut mir leid wenn ich mich irre ^^.

[jens]

So schwer ist das nicht, speicher die Datei mal ab und leg daneben das skript:

Code: Alles auswählen

from data_eval import data_eval

daten = """{1:2, "a":"b", u"c":"c", "d":-1, "e":-2.02}"""
result = data_eval(daten)
print result

(ungetestet )

[ms4py]

Hier wär noch eine Alternative mit `ast`:

http://bitbucket.org/ms4py/sitforc/src/ ... cparser.py

Und hier noch eine kleine PDF mit Erklärung zu dem Ganzen
http://bitbucket.org/ms4py/sitforc/down ... parser.pdf

[xpilz]

Danke. Ich werde mich erst durch das von ms4py gepostete durchlesen und danach jens ungetesteten Code ausprobieren.

Edit: @jens: So ganz verstehe ich deine Antwort nicht . Bei mir sagt er data_eval gibt es nicht oder meinst du das Skript mit dem exec abspeichern und importieren?

[ms4py]

Edit: @jens: So ganz verstehe ich deine Antwort nicht . Bei mir sagt er data_eval gibt es nicht oder meinst du das Skript mit dem exec abspeichern und importieren?

Na klar musst du sein Modul abspeichern und importieren

[xpilz]

Na klar musst du sein Modul abspeichern und importieren :Wink:

Okay, das ist ein Modul. Die Datei abspeichern, bis dahin versteh ich das ja noch, was soll ich dann damit machen? Soll ich versuchen die daten{...} mittels eval() auszulesen, oder wie? Nur Nebenbei: Ihr müsst bitte beachten mein Python "Wortschatz" reicht bislang nur bis exec. Das wäre Punkt 13.6 in meinem Tutorial das ich grade lese.. Und auch sonst habe ich nur 3-4 mal etwas in Python geschrieben. Sollte ich mich mehr damit befassen?

[jens]

Genau. Mein Skript von http://github.com/jedie/django-dbprefer ... ta_eval.py sollte als data_eval.py "neben" dem test skript liegen, welches dann den import from data_eval import data_eval macht

[xpilz]

Funktioniert nicht da meine Version von Python, 3.1 ist.
Ich lade mir schnell die andere herunter .