Python命令注入是指攻击者通过构造恶意输入参数,篡改程序原本要执行的系统命令,从而执行非预期的指令的安全漏洞,这类问题多出现在程序调用系统命令处理外部输入的场景中。
命令注入的常见产生场景
Python中多个标准库接口支持执行系统命令,如果直接拼接外部输入到命令字符串中,就可能出现注入风险,常见的风险接口包括:
os.system:直接执行传入的命令字符串os.popen:执行命令并返回文件对象subprocess模块的shell=True参数调用:当shell模式开启时,命令会经过系统shell解析,拼接输入就会产生风险commands模块(Python2中常用,Python3已移除):相关命令执行接口也存在同样问题
风险代码示例
下面是一个典型的存在命令注入风险的代码,功能是接收用户输入的文件名,执行ping命令测试连通性:
import os
# 接收用户输入的文件名
user_input = input("请输入要测试的目标地址:")
# 直接拼接输入到命令字符串中,存在注入风险
command = "ping " + user_input
os.system(command)
如果用户输入127.0.0.1 && rm -rf /,最终执行的命令会变成ping 127.0.0.1 && rm -rf /,攻击者就可以执行任意删除系统文件的恶意命令。
如何识别命令注入风险
可以通过以下几个维度快速排查代码中是否存在命令注入问题:
- 检查所有调用系统命令的位置,是否直接拼接了外部输入(包括用户输入、接口参数、数据库读取内容、文件读取内容等不可信数据)
- 检查
subprocess调用时是否设置了shell=True,如果开启该参数且命令包含外部输入,大概率存在风险 - 检查命令字符串中是否包含
&&、||、;、|、`等shell特殊字符,这些字符常被用于构造注入 payload
命令注入的规避方案
方案一:避免使用shell模式执行命令
使用subprocess模块时,将shell参数设置为False(默认值),同时将命令和参数拆分为列表形式传入,这样系统不会经过shell解析,输入的特殊字符会被当作普通参数处理,无法注入额外命令。
import subprocess
user_input = input("请输入要测试的目标地址:")
# 命令和参数拆分为列表,shell=False(默认)
# 即使输入包含特殊字符,也只会被当作ping的参数,不会执行额外命令
subprocess.run(["ping", user_input])
方案二:严格校验外部输入
如果必须使用shell模式执行命令,需要对外部输入做严格的白名单校验,只允许符合预期格式的内容传入,禁止包含shell特殊字符。
import subprocess
import re
user_input = input("请输入要测试的目标地址:")
# 只允许输入IP地址格式的内容,拒绝其他所有输入
if re.match(r'^(d{1,3}.){3}d{1,3}$', user_input):
subprocess.run(f"ping {user_input}", shell=True)
else:
print("输入格式不合法")
方案三:使用专用库替代系统命令
很多系统命令的功能都有对应的Python专用库实现,优先使用这些库可以避免调用系统命令,从根源上消除命令注入风险。比如测试网络连通性可以使用socket库,操作文件可以使用os模块的文件操作接口,而不是调用rm、cp等系统命令。
import socket
def check_host_alive(host, port=80, timeout=2):
"""使用socket检测主机是否可达,替代ping命令"""
try:
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sock.settimeout(timeout)
result = sock.connect_ex((host, port))
sock.close()
return result == 0
except Exception:
return False
user_input = input("请输入要测试的目标地址:")
if check_host_alive(user_input):
print("主机可达")
else:
print("主机不可达")
风险规避注意事项
- 不要认为输入来自内部系统就绝对可信,内部数据也可能被篡改,所有外部输入都需要校验
- 禁止在命令执行相关代码中拼接不可信数据,即使做了转义也可能存在绕过风险
- 定期对代码做安全审计,重点排查命令执行相关的逻辑,及时发现潜在风险
安全编码的核心是默认不信任任何外部输入,所有涉及命令执行、文件操作、数据库查询的场景都需要做好输入校验和参数化处理,才能最大程度降低安全风险。
Python命令注入安全编码subprocessos_system修改时间:2026-06-28 19:48:54