當部分命令來自用戶輸入時，在Linux服務器上執行命令的安全方式

Question

我在審查一個Web應用程序，該應用程序公開用戶可通過Web界面更改其unix密碼的功能。經過身份驗證的Web用戶提供了他的unix用戶名和他想要的密碼。命令注入在這裏是一個明顯的攻擊向量。

輸入被驗證和消毒通過強制用戶名是僅在：
/^[a-zA-Z0-9]+$/

此後它類似的信息（在python）：

p = os.popen("/usr/bin/passwd " + username, "w") 

等等等等。

如果他們沒有這個正則表達式，像jon; rm -rf這樣的用戶名對系統或popen來說是災難性的。

我wan't更根本的是不會讓我傷害自己即使這樣糟糕的輸入方式使得該系統/ POPEN調用。 （例如subprocess）

有沒有更安全的方法來做到這一點或驗證輸入仍然是唯一的防禦？如果有一種執行命令的標準方法，其中一部分命令來自用戶輸入，我一直在尋找比system/popen更安全的方法或完全不同的方法。

Answer 1

您可能報價輸入自己：

import pipes 
p = os.popen("/usr/bin/passwd " + pipes.quote(username), 'w') 

os.popen但反對和pipes.quote是一個未公開的函數，所以你會好得多隻是用subprocess模塊：

import subprocess 
p = subprocess.Popen(["/usr/bin/passwd", username]) 

Answer 2

爲避免代碼注入，請正確使用API​​。

http://atlee.ca/software/pam/

http://ace-host.stuart.id.au/russell/files/pam_python/

Security concerns with a Python PAM module?