在shell中使用shell = True的子進程的消毒輸入

Question

我有python腳本，它有代碼。

... 
... 
p = subprocess.Popen(cmd, 
        stdout=subprocess.PIPE, 
        stderr=subprocess.PIPE, 
        shell=True) 
output, error = p.communicate() 
... 
... 

當我運行bandit它會給出錯誤。

>> Issue: [B602:subprocess_popen_with_shell_equals_true] subprocess call with shell=True identified, security issue. 
    Severity: High Confidence: High 
    Location: mypackage/myfile.py:123 
123           stderr=subprocess.PIPE, 
124           shell=True) 
125      output, error = p.communicate() 

然後我做了一些谷歌，並發現，我有我的消毒輸入和與shlex.split和shlex.quote我可以清理它。

我將我的代碼更改爲。

... 
... 
p = subprocess.Popen(shlex.split(shlex.quote(cmd)), 
        stdout=subprocess.PIPE, 
        stderr=subprocess.PIPE, 
        shell=True) 
output, error = p.communicate() 
... 
... 

但我仍然得到同樣的錯誤，有沒有辦法消除這種誤差運行bandit -r mypackage/myfile.py

Answer 1

時那麼，用戶輸入他想要運行

如果用戶命令已經可以運行任何命令，包括bash，那麼bandit的關於shell=True的警告不適用。

警告纔有意義，如果用戶只允許選擇一些參數，對於一個固定的命令例如用於grep命令搜索查詢：

rc = call(['grep', '-e', query, path]) 

任何用戶指定的query的;它不會讓它運行一些其他的命令（只有grep運行）。

與shell=True比較：

rc = call("grep -e '%s' '%s'" % (query, path), shell=True) #XXX don't do it 

用戶可以通過query = "a' /dev/null; rm -rf '"會產生grep -e 'a' /dev/null; rm -rf '' 'path'命令。

shell=True允許用戶在這種情況下運行任意命令，即使它不是有意的。它被稱爲殼注射。

您可以撥打pipes.quote(query)，以避免天真的攻擊，但在一般情況下它可能會失敗，這就是爲什麼shell=True應該避免，如果輸入不是來自可信來源。