यह प्रश्न Exploitable PHP Functions के समान है।एक्सप्लॉयबल पायथन फ़ंक्शन
दंडित डेटा उपयोगकर्ता से आता है, या अधिक विशेष रूप से एक हमलावर। जब एक दांतेदार चर एक सिंक समारोह तक पहुंच जाता है, तो आपके पास भेद्यता होती है। उदाहरण के लिए एक एसक्यूएल क्वेरी निष्पादित करने वाला एक फ़ंक्शन एक सिंक होता है, और जीईटी/पोस्ट वैरिएबल टेंट के स्रोत होते हैं।
पायथन में सभी सिंक फ़ंक्शन क्या हैं? मैं ऐसे कार्यों की तलाश में हूं जो भेद्यता या software weakness पेश करते हैं। मैं विशेष रूप से रिमोट कोड निष्पादन भेद्यता में रूचि रखता हूं। क्या वहां पूरी कक्षाएं/मॉड्यूल हैं जो कार्यात्मक रूप से खतरनाक हैं? क्या आपके पास दिलचस्प पायथन भेद्यता के कोई उदाहरण हैं?
os.system
os.spawn*
os.popen*
popen2.*
commands.*
वहाँ भी exec जो अजगर कोड निष्पादित करेंगे और eval जो एक अभिव्यक्ति "का मूल्यांकन" होगा और करने के लिए इस्तेमाल किया जा सकता है:
इसे एक समुदाय विकी बनाने के बारे में कैसे? –
@ स्वेन मार्नच यह कैसे बेहतर करेगा? मैंने पहले ऐसा नहीं किया है। – rook
यह (क्या होगा?) पाइथन को किसी भी महान डिग्री तक सुरक्षित करना बहुत मुश्किल है; भाषा बस इसके लिए बहुत लचीला है। यदि आप एक सुरक्षित पायथन पर्यावरण बनाने की कोशिश कर रहे हैं, तो आपके पास एक बहुत बड़ा काम है। – katrielalex