脚本之家 服务器常用软件
快捷导航
您的位置:首页脚本专栏python → Python 模板注入

Python 模板引擎的注入问题分析

 更新时间:2017年01月01日 23:15:03   作者:virusdefender  
本文给大家主要讲述的是Python 模板引擎的注入问题分析,以及如何防范和需要注意的地方,有需要的小伙伴可以参考下

这几年比较火的一个漏洞就是jinjia2之类的模板引擎的注入,通过注入模板引擎的一些特定的指令格式,比如 {{1+1}} 而返回了 2 得知漏洞存在。实际类似的问题在Python原生字符串中就存在,尤其是Python 3.6新增 f 字符串后,虽然利用还不明确,但是应该引起注意。

最原始的 %

userdata = {"user" : "jdoe", "password" : "secret" }
passwd = raw_input("Password: ")

if passwd != userdata["password"]:
  print ("Password " + passwd + " is wrong for user %(user)s") % userdata

如果用户输入 %(password)s 那就可以获取用户的真实密码了。

format方法相关

https://docs.python.org/3/library/functions.html#format

除了上面的payload改写为 print ("Password " + passwd + " is wrong for user {user}").format(**userdata) 之外,还可以

>>> import os
>>> '{0.system}'.format(os)
'<built-in function system>'

会先把 0 替换为 format 中的参数,然后继续获取相关的属性。

但是貌似只能获取属性,不能执行方法?但是也可以获取一些敏感信息了。

例子: http://lucumr.pocoo.org/2016/12/29/careful-with-str-format/

CONFIG = {
  'SECRET_KEY': 'super secret key'
}

class Event(object):
  def __init__(self, id, level, message):
    self.id = id
    self.level = level
    self.message = message

def format_event(format_string, event):
  return format_string.format(event=event)

如果 format_string 为 {event.__init__.__globals__[CONFIG][SECRET_KEY]} 就可以泄露敏感信息。

Python 3.6中的 f 字符串

这个字符串非常厉害,和Javascript ES6中的模板字符串类似,有了获取当前context下变量的能力。

https://docs.python.org/3/reference/lexical_analysis.html#f-strings

>>> a = "Hello"
>>> b = f"{a} World"
>>> b
'Hello World'

而且不仅仅限制为属性了,代码可以执行了。

>>> import os
>>> f"{os.system('ls')}"
bin   etc   lib   media  proc   run   srv   tmp   var
dev   home   linuxrc mnt   root   sbin   sys   usr
'0'

>>> f"{(lambda x: x - 10)(100)}"
'90'

但是貌似 没有 把一个普通字符串转换为 f 字符串的方法,也就是说用户很可能无法控制一个 f 字符串,可能无法利用,还需要继续查一下。

您可能感兴趣的文章:

相关文章

  • Python装饰器如何实现修复过程解析

    Python装饰器如何实现修复过程解析

    这篇文章主要介绍了Python装饰器如何实现修复过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
    2020-09-09
  • Python实现统计单词出现的个数

    Python实现统计单词出现的个数

    这篇文章主要介绍了Python实现统计单词出现的个数,本文给出了实现代码以及使用方法,需要的朋友可以参考下
    2015-05-05
  • Python使用CRC32实现校验文件

    Python使用CRC32实现校验文件

    CRC文件校验是一种用于验证文件完整性的方法,通过计算文件的CRC值并与预先计算的CRC校验值进行比较,来判断文件是否发生变化,本文我们就来介绍一下Python如何利用CRC32实现校验文件吧
    2023-10-10
  • python实现多层感知器MLP(基于双月数据集)

    python实现多层感知器MLP(基于双月数据集)

    这篇文章主要为大家详细介绍了python实现多层感知器MLP,基于双月数据集,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2019-01-01
  • python数据可视化Seaborn画热力图

    python数据可视化Seaborn画热力图

    这篇文章主要介绍了数据可视化Seaborn画热力图,热力图的想法其实很简单,用颜色替换数字,下面我们来看看文章对操作过程的具体介绍吧,需要的小伙伴可以参考一下具体内容,希望对你有所帮助
    2022-01-01
  • Django多个app urls配置代码实例

    Django多个app urls配置代码实例

    这篇文章主要介绍了Django多个app urls配置代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
    2020-11-11
  • pyqt5 子线程如何操作主线程GUI(示例代码)

    pyqt5 子线程如何操作主线程GUI(示例代码)

    这篇文章主要介绍了pyqt5 子线程如何操作主线程GUI,在使用pyqt5编写gui时遇到两个问题,会导致界面崩溃,今天就围绕这两个问题来简单说明和改进,需要的朋友可以参考下
    2024-05-05
  • go和python调用其它程序并得到程序输出

    go和python调用其它程序并得到程序输出

    这里介绍下用python和go语言的实现将其它程序的输出直接保存成变量供程序使用的方法,大家参考使用吧
    2014-02-02
  • Pycharm 如何设置HTML文件自动补全代码或标签

    Pycharm 如何设置HTML文件自动补全代码或标签

    这篇文章主要介绍了Pycharm 如何设置HTML文件自动补全代码或标签,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2021-05-05
  • Python写捕鱼达人的游戏实现

    Python写捕鱼达人的游戏实现

    这篇文章主要介绍了Python写捕鱼达人的游戏实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2020-03-03

最新评论