Python注入 - そのようなことはありますか？

Question

私は自分のサイトでいくつかの侵入テストを行っており、一般的な脆弱性について多くの研究を行っています。

SQLインジェクションがたくさん出ますが、私は、おそらくPythonインジェクションのようなものがあるのでしょうか？例えば、WebフォームがPythonのバックエンドアプリで辞書に入力された値を送信したとします。その入力が正しく処理されなかった場合、Pythonコードをアプリケーションに注入して実行できる可能性はありますか？

この脆弱性を簡単かつ無害にテストする方法はありますか？それが実際に潜在的な脆弱性である場合、私はこのトピックについて多くのWebリソースを見つけることができないようです。

Answer 1

は、ウェブフォームからの入力でとなります。通常の使用では、フォームはx-www-form-urlencodedまたはjsonとしてエンコードされます。はを完全に安全に非直列化する必要があります。もちろん、それらはも安全でない方法で非直列化することができます - これを正しく処理するために専用のライブラリを使用してください（例：urlparseまたはjson）。

入力が安全であるかどうかは、アプリケーションがそのアプリケーションで行うことによって決まります。 （例えば、アプリケーションがを復号化されたdictに基づいて入力を使用する場合はではなく、は安全です）。

これを自動化したテストでは、これを達成する方法はわかりませんが、通常のベストプラクティスに従うだけで、これらの問題は緩和されます（evalコード信頼など）