pythonのinput()の脆弱性を拡張するときにCTFチャレンジでサーバーを保護する
この challenge は、私がプレイしたCTFの1つで、Python 2.xの入力の脆弱性を悪用する必要がありました。入力したので、 Python 2.xはeval(raw_input())と同じです)基本的に、電源をオフにするか、別のディレクトリに移動できます。それを行うだけでなく、脆弱性の悪用を許可しますか?
私が考えることができる簡単な方法の1つは、許可したくないコマンドを含むブラックリストを使用して、ユーザー入力を無害化することです。言及した。 OWASPはホワイト/ブラックリストについて非常に良い説明を提供します [〜#〜]ここ[〜#〜]