防止用户上载代码执行恶意任务

Question

对于一个类项目，我们正在创建一个web项目，用户可以上传一个ai脚本(python代码)来玩游戏。我已经完成了文件上传部分，但我关心的是安全性和防止恶意代码。

如何防止用户将恶意代码上传到应用程序？

Answer 1

• 使用PyPy创建和/OR
• 扫描并删除潜在危险的类导入(fs、system..etc)

重新生成是沙箱方法的活生生的例子。

Answer 2

我建议您不要使用关键字进行过滤。有更可靠的方法来阻止恶意代码。我编写了这个小片段来说明恶意代码如何可能绕过字符串过滤过程：

test = """
def f():
    import os
    print((os.name))
f()
"""
obfus = []
for c in test: obfus.append(chr(ord(c) + 1))
obfus = ''.join(obfus)
obfus.replace("os", "**")
def hidden_things():
    print_os = []
    for c in obfus: print_os.append(chr(ord(c) - 1))
    exec(''.join(print_os))
hidden_things()

恶意编码者经常想出非常有创意的规避安全的方法。这是一个非常简单的例子，说明比我聪明的人能做到什么。

修正案：

我在这个网站上发现了一些相关的问题：

• 阻止Python代码导入某些模块？
• 如何阻止Python模块被导入？
• 如何制作基于web的python交互式shell

Answer 3

在语言级别进行沙箱几乎是不可能的，因此您有两个选项：

1. 使用像VirtualBox这样的虚拟化层或更轻量级的东西，比如Google、LXC或Docker，对Python进程进行沙箱化。
2. 使用像http://repl.it/api这样为您执行此操作的服务