Problema de Segurança #4

Gabriel-Goes · 2024-03-29T04:32:58Z

O uso de subprocess.Popen com shell=True e a interpolação de strings para construir comandos shell apresenta riscos de segurança, especialmente se o conteúdo das variáveis envolvidas puder ser controlado por um ator externo. Isso pode levar a vulnerabilidades de injeção de shell.

Gabriel-Goes · 2024-04-05T16:30:39Z

Using only python:

user_input = input("Please enter a filename: ")
try:
with open(user_input, 'r') as file:
print(file.read())
except FileNotFoundError:
print("File not found.")

Using shlex:

import subprocess
import shlex

user_input = input("Please enter a filename: ")
safe_user_input = shlex.quote(user_input)
subprocess.Popen(['cat', safe_user_input])

Not using f' cat {}'

import subprocess

user_input = input("Please enter a filename: ")
subprocess.run(['cat', user_input])

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Problema de Segurança #4

Problema de Segurança #4

Gabriel-Goes commented Mar 29, 2024

Gabriel-Goes commented Apr 5, 2024

Problema de Segurança #4

Problema de Segurança #4

Comments

Gabriel-Goes commented Mar 29, 2024

Gabriel-Goes commented Apr 5, 2024

Using only python:

Using shlex:

Not using f' cat {}'