欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Python 模板引擎的注入問題分析

 更新時間:2017年01月01日 23:15:03   作者:virusdefender  
本文給大家主要講述的是Python 模板引擎的注入問題分析,以及如何防范和需要注意的地方,有需要的小伙伴可以參考下

這幾年比較火的一個漏洞就是jinjia2之類的模板引擎的注入,通過注入模板引擎的一些特定的指令格式,比如 {{1+1}} 而返回了 2 得知漏洞存在。實際類似的問題在Python原生字符串中就存在,尤其是Python 3.6新增 f 字符串后,雖然利用還不明確,但是應該引起注意。

最原始的 %

userdata = {"user" : "jdoe", "password" : "secret" }
passwd = raw_input("Password: ")

if passwd != userdata["password"]:
  print ("Password " + passwd + " is wrong for user %(user)s") % userdata

如果用戶輸入 %(password)s 那就可以獲取用戶的真實密碼了。

format方法相關

https://docs.python.org/3/library/functions.html#format

除了上面的payload改寫為 print ("Password " + passwd + " is wrong for user {user}").format(**userdata) 之外,還可以

>>> import os
>>> '{0.system}'.format(os)
'<built-in function system>'

會先把 0 替換為 format 中的參數,然后繼續(xù)獲取相關的屬性。

但是貌似只能獲取屬性,不能執(zhí)行方法?但是也可以獲取一些敏感信息了。

例子: http://lucumr.pocoo.org/2016/12/29/careful-with-str-format/

CONFIG = {
  'SECRET_KEY': 'super secret key'
}

class Event(object):
  def __init__(self, id, level, message):
    self.id = id
    self.level = level
    self.message = message

def format_event(format_string, event):
  return format_string.format(event=event)

如果 format_string 為 {event.__init__.__globals__[CONFIG][SECRET_KEY]} 就可以泄露敏感信息。

Python 3.6中的 f 字符串

這個字符串非常厲害,和Javascript ES6中的模板字符串類似,有了獲取當前context下變量的能力。

https://docs.python.org/3/reference/lexical_analysis.html#f-strings

>>> a = "Hello"
>>> b = f"{a} World"
>>> b
'Hello World'

而且不僅僅限制為屬性了,代碼可以執(zhí)行了。

>>> import os
>>> f"{os.system('ls')}"
bin   etc   lib   media  proc   run   srv   tmp   var
dev   home   linuxrc mnt   root   sbin   sys   usr
'0'

>>> f"{(lambda x: x - 10)(100)}"
'90'

但是貌似 沒有 把一個普通字符串轉換為 f 字符串的方法,也就是說用戶很可能無法控制一個 f 字符串,可能無法利用,還需要繼續(xù)查一下。

相關文章

  • Python裝飾器如何實現修復過程解析

    Python裝飾器如何實現修復過程解析

    這篇文章主要介紹了Python裝飾器如何實現修復過程解析,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下
    2020-09-09
  • Python實現統(tǒng)計單詞出現的個數

    Python實現統(tǒng)計單詞出現的個數

    這篇文章主要介紹了Python實現統(tǒng)計單詞出現的個數,本文給出了實現代碼以及使用方法,需要的朋友可以參考下
    2015-05-05
  • Python使用CRC32實現校驗文件

    Python使用CRC32實現校驗文件

    CRC文件校驗是一種用于驗證文件完整性的方法,通過計算文件的CRC值并與預先計算的CRC校驗值進行比較,來判斷文件是否發(fā)生變化,本文我們就來介紹一下Python如何利用CRC32實現校驗文件吧
    2023-10-10
  • python實現多層感知器MLP(基于雙月數據集)

    python實現多層感知器MLP(基于雙月數據集)

    這篇文章主要為大家詳細介紹了python實現多層感知器MLP,基于雙月數據集,文中示例代碼介紹的非常詳細,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2019-01-01
  • python數據可視化Seaborn畫熱力圖

    python數據可視化Seaborn畫熱力圖

    這篇文章主要介紹了數據可視化Seaborn畫熱力圖,熱力圖的想法其實很簡單,用顏色替換數字,下面我們來看看文章對操作過程的具體介紹吧,需要的小伙伴可以參考一下具體內容,希望對你有所幫助
    2022-01-01
  • Django多個app urls配置代碼實例

    Django多個app urls配置代碼實例

    這篇文章主要介紹了Django多個app urls配置代碼實例,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下
    2020-11-11
  • pyqt5?子線程如何操作主線程GUI(示例代碼)

    pyqt5?子線程如何操作主線程GUI(示例代碼)

    這篇文章主要介紹了pyqt5?子線程如何操作主線程GUI,在使用pyqt5編寫gui時遇到兩個問題,會導致界面崩潰,今天就圍繞這兩個問題來簡單說明和改進,需要的朋友可以參考下
    2024-05-05
  • go和python調用其它程序并得到程序輸出

    go和python調用其它程序并得到程序輸出

    這里介紹下用python和go語言的實現將其它程序的輸出直接保存成變量供程序使用的方法,大家參考使用吧
    2014-02-02
  • Pycharm 如何設置HTML文件自動補全代碼或標簽

    Pycharm 如何設置HTML文件自動補全代碼或標簽

    這篇文章主要介紹了Pycharm 如何設置HTML文件自動補全代碼或標簽,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教
    2021-05-05
  • Python寫捕魚達人的游戲實現

    Python寫捕魚達人的游戲實現

    這篇文章主要介紹了Python寫捕魚達人的游戲實現,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧
    2020-03-03

最新評論