当前位置: 首页 > 面试题库 >

Pickle和Dill包含恶意脚本的风险是否相似?

岳枫
2023-03-14
问题内容

Dill显然是一个非常有用的模块,而且只要您仔细地管理文件,它就显得相对安全。但是,我对以下说法感到不安:

因此,莳萝并非旨在防止错误或恶意构建的数据。留给用户决定他们释放的数据是否来自可信赖的来源。

我在https://pypi.python.org/pypi/dill中阅读。留给用户决定如何管理他们的文件。

如果我理解正确的话,一旦莳萝腌了它,您将无法 轻易地 找到原始脚本在没有某些特殊技能的情况下会做什么。

我的问题是:尽管我没有看到警告, 但泡菜也存在类似情况吗?


问题答案:

莳萝建立在泡菜的顶部,警告和腌菜一样适用于泡菜。

Pickle使用 堆栈语言 有效地执行任意Python代码。例如,攻击者可以潜入指示以打开到计算机的反向端口。永远不要使用来自不受信任来源的腌制数据。

该文档包含一个明确的警告:

警告 :该pickle模块对于错误或恶意构建的数据并不安全。切勿挑剔从不可信或未经身份验证的来源收到的数据。



 类似资料:
  • 我正在为实验室环境生成文件,其中包含创建、修改和最后访问的随机日期。直到最近Powershell/VSCode因为包含“恶意代码”而开始阻止该脚本时,这种方法一直运行良好。几天前,这段代码运行良好: 从昨天开始运行时,它抛出以下错误: 这篇博客文章表明这是Windows Defender造成的。对于那张海报,等待新的更新解决了这个问题,但是我不太热衷于依赖特定的视窗更新来实现这一点。这里有一些有趣

  • 问题内容: 假设我创建了一个像这样的文档: 我可以使用GET / idx / type / 1检索文档: 现在,我想检查字段“ the_field”是否包含值2。我知道我可以使用term子句,但是我需要使用过滤器脚本检查它,因此我尝试了: 并没有结果: 为了测试我的mevl脚本语法是否正确,我尝试这样做: 并获得正确的结果: 我究竟做错了什么? 我认为doc [‘the_field’]。value

  • 我对Groovy很陌生,我想从主groovy脚本中的另一个groovy脚本中导入一个类。我已经看到了这篇文章。但是由于环境限制,我不能使用GroovyClassLoader之类的函数或导入任何库/框架。我唯一的可能性是使用评估方法。 我试过这个: 主脚本(评估不会抛出任何错误) Csvreader脚本 但是,我需要通过evaluate调用传递参数(并将方法移到类之外),或者需要创建类的实例。不幸的

  • 本文向大家介绍jQuery Mobile漏洞会有跨站脚本攻击风险,包括了jQuery Mobile漏洞会有跨站脚本攻击风险的使用技巧和注意事项,需要的朋友参考一下 概述 根据国外媒体的最新报道,谷歌公司的安全工程师Eduardo Vela在jQuery Mobile框架中发现了一个安全漏洞,这个漏洞将会让 所有使用了jQuery Mobile的网站暴露于跨站脚本攻击风险之下 。 jQuery Mo

  • 问题内容: 我参与了一个将项目从Oracle迁移到MySQL的项目。在Oracle中,当通过命令行运行批处理时,我能够创建一个引用或包含其他外部SQL脚本文件的SQL脚本。我有一个名为CreateAllTables.sql的脚本,在内部看起来像这样: 我已经知道MySQL命令行“源”命令,但是我的目标是通过一个命令行调用来调用一个包含其他脚本的主.sql脚本文件,如下所示: 所以我的问题是我该如何

  • null null 结果(只是基于我的例子): 我们不需要在每个模块中添加相同的代码行。 大多数项目只与依赖项列表有区别。 我试图用Gralde KTS复制同样的东西,并收到以下困难: null null 其他链接: 插件应用的Gradle KTS问题。 共享常数提取的Gradle KTS问题。