moin
ich hab da ein kleines sicherheits loch in meiner python cgi app
und zwar oeffne ich eine weitere app via popen() + args.. nun ist es leider so das man bei den args auch backticks verwenden kann also `ls` usw...
das soll eigentlich nicht so sein.
wie kann man das am BESTEN verhindern oder am vieleicht garnicht erst mit popen() machen?
es soll nur ein weiteres script in dem ordner ausgefuehrt werden und args uebergeben werden...
problem mit backticks...
-
- Python-Forum Veteran
- Beiträge: 2010
- Registriert: Freitag 11. Oktober 2002, 18:00
- Wohnort: Salzburg
- Kontaktdaten:
Hi Spooky,
du könntest, falls du an die args rankommst die Backticks durch einfache Anführungszeichen austauschen.
Gruß
Dookie
du könntest, falls du an die args rankommst die Backticks durch einfache Anführungszeichen austauschen.
Code: Alles auswählen
args = "`ls` ./"
args = args.replace("`", "'")
print args
Gruß
Dookie
[code]#!/usr/bin/env python
import this[/code]
import this[/code]
jo das hilft schonmal
danke
gibt es da noch weitere risiken auf die ich achten sollte?
*edit
so hat sich erledigt ich verarbeite die args nun direkt im selben script und da funktioniert es ja nicht
danke fuer die unterstuetzung
danke
gibt es da noch weitere risiken auf die ich achten sollte?
*edit
so hat sich erledigt ich verarbeite die args nun direkt im selben script und da funktioniert es ja nicht
danke fuer die unterstuetzung