编辑
好的,由于似乎有很多混淆,我将简化问题。您可以尝试回答下面的原始问题,或者您可以尝试回答下面的问题并忽略下面的所有内容。
我的目标是在极其受限制的环境中获取任意表达式并对其进行评估。此环境仅包含具有以下类型值的变量:
- 数字向量
- 仅接受一个或多个数字向量并返回数字向量的纯函数(即算术运算符)
此外,表达式必须能够使用任何字面量,例如数字和字符串常量(但不能使用数字或字符串向量,因为这些将需要 c
)。我想在此环境中评估表达式,并确保表达式无法访问环境之外的任何内容,以便我可以确信评估表达式不会构成安全风险。因此,在下面的代码中,您能否填写一个字符串,该字符串在评估时会执行一些不良操作?“不良操作”被定义为向屏幕打印某些内容、访问变量 secret
的值、执行任何 shell 命令(最好是产生输出的命令),或者您认为其他任何不良操作(请解释您的选择)。
a <- 1
b <- 2
x <- 5
y <- 1:10
z <- -1
## Give secret a random value so that you can't just compute it from
## the above variables
secret <- rnorm(5)
allowed.variables <- c(
## Numeric variables
"a", "b", "x", "y", "z",
## Arithmetic operators
"(", "+", "-", "/", "*", "^", "sqrt", "log", "log10", "log2", "exp", "log1p")
restricted.environment <- Map(get, allowed.variables)
## Example naughty expressions that my method successfully guards
## against
expr1 <- "secret"
expr2 <- "cat('Printing something with cat\n')"
expr3 <- "system('echo Printing something via shell command')"
arbitrary.expression <- "?????????" # Your naughty string constant here
eval(parse(text=arbitrary.expression), envir=restricted.environment, enclos=emptyenv())
原始问题
我正在编写一些代码来接受用户输入的算术表达式并对其进行求值。我有一组特定的变量可以使用,并且有一个算术函数白名单(+
、-
、*
、/
、^
等)。是否有任何方法可以评估一个表达式,以便只有这些变量和运算符在作用域内,以避免任意代码注入的可能性?我有一些可以工作的东西,但除非我确信它确实是防弹的,否则我不想真正使用它:
## Shortcut for parse-then-eval pattern
evalparse <- function(expr, ...) eval(parse(text=expr), ...)
# I control these
arithmetic.operators <- Map(get, c("(", "+", "-", "/", "*", "^", "sqrt", "log", "log10", "log2", "exp", "log1p"))
vars <- list(a=1, b=2)
safe.envir <- c(vars, arithmetic.operators)
# Assume that these expressions are user input, e.g. from a web form.
nice.expr <- "a + b"
naughty.expr <- paste("cat('ARBITRARY R CODE INJECTION\n'); system('echo ARBITRARY SHELL COMMAND INJECTION');", nice.expr)
## NOT SAFE! Lookups outside env still possible.
evalparse(nice.expr, envir=safe.envir)
evalparse(naughty.expr, envir=safe.envir)
## Is this safe?
evalparse(nice.expr, envir=safe.envir, enclos=emptyenv())
evalparse(naughty.expr, envir=safe.envir, enclos=emptyenv())
如果你在R中运行上述代码,你会发现第一次执行
naughty.expr
时,它成功地执行了其有效负载。然而,在第二次使用enclose=emptyenv()
时,只有访问变量a
、b
和指定的算术运算符,因此有效负载无法执行。
那么,这种方法(即eval(..., envir=safeenv, enclos=emptyenv())
)是否适用于接受实际用户输入的生产环境,或者我是否忽略了某些狡猾的方法来在受限环境中执行任意代码?
naughty.expr <- "(a+b)*(b+b+a)*(b^b^b+b+a)*((b^(a+b)*(b*b+a)*(b*b*b-a))+a)"
- flodela
和/或b
的情况。顺便说一句,我不确定这是安全的(或者能否变得安全)。 - Joshua Ulrichmget
函数的envir
参数有一个默认值。我已经编辑了我的代码,改用get
函数。 - Ryan C. Thompsonsos
包代码。很容易修改它,以便用户可以拥有一个"?+"运算符,并使该运算符执行“某些不好的事情”。我不是编程专家,但我敢打赌,白名单中的任何内容都可能被利用。 - Carl Witthoft