web.py使用不当可能造成代码执行
实话说我标题党了,这只是一个小tip,不能算漏洞(因为我想swart就是这样设计的)。不过文档中似乎没有把这个说出来,我想如果有一千万分之一的概率被程序员这样写了,那的确能造成代码执行。
先举个简单例子吧,如下代码:
#!/usr/bin/env python
#coding=utf-8
__author__ = 'Phtih0n'
import web
urls = (
'.*', 'game'
)
class game:
def GET(self):
data = web.input()
return data
if __name__ == "__main__":
app = web.application(urls, globals())
app.run()
最简单的一个网站代码,运行以后访问即可看到输出的是GET过来的一个字典:
Storage是web.py中定义的一个类,其基类是dict,也就是说其实Storage就是被封装过的一个字典。
web.input是一个接收GET或POST参数的重要函数,我们可以为参数设置一个默认值。
比如data = web.input(xdsec = "xdsec.org"),那么,如果访问http://localhost/?xdsec=123,则data['xdsec'] 就是 "123",但如果访问http://localhost/不带参数,则data['xdsec']就取默认值"xdsec.org"。如下:
我们看到web.py的源码,它是怎么处理input函数的:
def input(*requireds, **defaults):
"""
Returns a `storage` object with the GET and POST arguments.
See `storify` for how `requireds` and `defaults` work.
"""
_method = defaults.pop('_method', 'both')
out = rawinput(_method)
try:
defaults.setdefault('_unicode', True) # force unicode conversion by default.
return storify(out, *requireds, **defaults)
except KeyError:
raise badrequest()
我们看到,他调用了storify函数返回,我们再跟一下storify函数:
def storify(mapping, *requireds, **defaults):
_unicode = defaults.pop('_unicode', False)
# if _unicode is callable object, use it convert a string to unicode.
to_unicode = safeunicode
if _unicode is not False and hasattr(_unicode, "__call__"):
to_unicode = _unicode
def unicodify(s):
if _unicode and isinstance(s, str): return to_unicode(s)
else: return s
def getvalue(x):
if hasattr(x, 'file') and hasattr(x, 'value'):
return x.value
elif hasattr(x, 'value'):
return unicodify(x.value)
else:
return unicodify(x)
stor = Storage()
for key in requireds + tuple(mapping.keys()):
value = mapping[key]
if isinstance(value, list):
if isinstance(defaults.get(key), list):
value = [getvalue(x) for x in value]
else:
value = value[-1]
if not isinstance(defaults.get(key), dict):
value = getvalue(value)
if isinstance(defaults.get(key), list) and not isinstance(value, list):
value = [value]
setattr(stor, key, value)
for (key, value) in defaults.iteritems():
result = value
if hasattr(stor, key):
result = stor[key]
if value == () and not isinstance(result, tuple):
result = (result,)
setattr(stor, key, result)
return stor
关键看其中这几个点:
1._unicode = defaults.pop('_unicode', False)
从defaults(defaults是两个星号**defaults,也就是web.input时的默认值)中取出_unicode的值。
2.if _unicode is not False and hasattr(_unicode, "__call__"): to_unicode = _unicode
如果_unicode不是false而且含有__call__这个属性的话,就赋值给to_unicode
3.if _unicode and isinstance(s, str): return to_unicode(s)
如果_unicode非false而且s是一个字符串则执行to_unicode(s)
也就是说,如果我将一个含有__call__属性的对象赋值给_unicode,就能够在这个函数中允许它。__call__是python中的“魔术变量”之一,当一个类含有__call__这个方法的时候,我们就能直接通过“类名()”的方式执行它。
所以,如果有一个参数的名字是_unicode,默认值是exp,那就会写作web.input(_unicode=exp),这时候就会在web.input中执行exp这个函数,造成代码执行。
不过为什么说是特性而不是漏洞呢,因为程序员是没有理由把程序写成web.input(_unicode=exp)的,就算_unicode的值真的是"exp"的话,也会写成web.input(_unicode="exp"),因为“exp”只是一个字符串。
web.py的开发者留这个参数的用意应该在于处理字符编码,当传入的参数不是unicode的情况下,能通过传入一个_unicode方法去处理这个字符串,类似于一个回调函数。
不过通过这个特性也能看到在python中一样可能出现安全问题,只是看你有没有心罢了。
我们可以来做个试验,如下代码:
#!/usr/bin/env python
#coding=utf-8
__author__ = 'Phtih0n'
import web
urls = (
'.*', 'game'
)
def exp(a):
print "Hello, hacker"
return a
class game:
def GET(self):
data = web.input(_unicode=exp, xdsec = 'xdsec.org')
return data
if __name__ == "__main__":
app = web.application(urls, globals())
app.run()
运行以后访问一下http://localhost/,我们看到控制台,可以看到,里面输出了"hello, hacker",每访问一次localhost就会输出一个hello:
实际上也就是exp函数被执行了。因为我把_unicode变量的值赋为了exp。如果我们把_unicode=exp换成_unicode=sys.exit,就能执行exit函数,导致进程退出,造成拒绝服务。
- deepin系统下如何设置wifi热点(亲测有效)
- Silverlight单元测试
- Silverlight:页面/控件继承的二种写法
- java学习:Hibernate入门
- Silverlight Telerik控件学习:GridView双向绑定
- XmlWriter/XmlReader示例代码
- Silverlight Telerik控件学习:RadComboBox之自动完成(AutoComplete)
- Silverlight Telerik控件学习:数据录入、数据验证
- AI与自动驾驶
- python多线程学习笔记(超详细)
- Silverlight Telerik控件学习:RadTransitionControl
- Silverlight Telerik控件学习:弹出窗口RadWindow
- Andrew Ng机器学习课程笔记--week6(精度&召回率)
- Andrew Ng机器学习课程笔记--week5(下)
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法