哪些内置函数不应由不受信任的用户运行？

Question

我正在创建一个 corewars 类型的应用程序，该应用程序在 django 上运行，并允许用户上传一些控制其角色的 python 代码。现在，我知道这个问题的真正答案是，只要我从不受信任的用户那里获取代码输入，我就会遇到安全漏洞。我只是想尽可能地降低风险。以下是一些我想到的：

• __import__ （我可能还会进行一些 ast 扫描以确保没有任何 import 语句）
• open
• file< /code>
• input
• raw_input

还有其他我遗漏的吗？

Answer 1

在 http://wiki.python.org/ 上有很多关于限制 Python 的一般做法的答案moin/SandboxedPython。当我前段时间查看时，Zope RestrictedPython 看起来是最好的解决方案，与白名单系统一起使用。您仍然需要注意自己的代码，以免暴露任何安全漏洞，但这似乎是最好的系统。

Answer 2

既然您听起来决心这样做，我会将您链接到标准 rexec 模块，不是因为我认为你应该使用它（不 - 它有已知漏洞），但因为这可能是让您的网络服务器受到损害您自己的受限执行框架的一个很好的起点。

特别是，在“定义受限环境”标题下列出了 rexec 设计者认为相当安全的几个模块和函数；这些可能可以用作初始白名单。我还建议检查其代码是否存在您可能没有想到的其他问题。

Answer 3

您确实需要避免 eval。
想象一下这样的代码：

eval("__impor" + "t__('whatever').destroy_your_server")

这可能是最重要的一个。

Answer 4

是的，你必须加入白名单。有很多方法可以隐藏错误的命令。

这不是最坏的情况：

最坏的情况是有人进入数据库

最坏的情况是整台计算机获得 root 权限，而您却没有注意到它会探测您的其他计算机并记录您的密码。隔离这台机器并认为它是敌对的（DMZ，阻止它从内部和外部发起攻击等）。在不可写介质上运行 tripwire 或 AIDE，并将所有内容记录到第二台主机。

最后，正如 plash 所示，需要防范许多危险的系统调用。

Answer 5

如果您不打算使用 Python 作为游戏中的语言，一种可能是使用 LunaticPython 嵌入 Lua（我建议位于 https://code.launchpad.net/~dne/lunatic-python/bugfixes）。

沙箱 Lua 比 Python 容易得多，嵌入 Lua 也比创建自己的编程语言容易得多。

Answer 6

您应该使用白名单，而不是黑名单。如果你使用黑名单，你总会错过一些东西。即使你不这样做，Python也会在标准库中添加一个函数，你也不会及时更新你的黑名单。

您当前允许但可能不应该包括的内容：

• compile< /a>
• eval
• reload （如果他们确实以某种方式访问​​文件系统，这基本上是 import)

我同意正确地做到这一点非常棘手。一个复杂的问题（其中之一）可能是用户通过另一个类中的字段访问这些函数之一。

我会考虑使用另一种隔离机制，例如虚拟机，作为替代或补充。您可以看看 codepad 是如何做到的。