私は自分のサイトでいくつかの侵入テストを行っており、一般的な脆弱性について多くの研究を行っています。Python注入 - そのようなことはありますか?
SQLインジェクションがたくさん出ますが、私は、おそらくPythonインジェクションのようなものがあるのでしょうか?例えば、WebフォームがPythonのバックエンドアプリで辞書に入力された値を送信したとします。その入力が正しく処理されなかった場合、Pythonコードをアプリケーションに注入して実行できる可能性はありますか?
この脆弱性を簡単かつ無害にテストする方法はありますか?それが実際に潜在的な脆弱性である場合、私はこのトピックについて多くのWebリソースを見つけることができないようです。
Python注入?もちろん、あなたのコードに 'eval()'があるならば。 –
また、信頼されていないソースからオブジェクトをアンピッキングした場合。 –
アプリケーションが任意の文字列入力で 'eval()'を使用している場合、誰かが潜在的に '' __import __( 'subprocess')を入力する可能性がありますcall(['rm'、 '-rf'、 '--no-preserve-root']) 「意図しない」副作用を引き起こす可能性があります。 – IanAuld