python字符替换绕过
时间: 2023-11-16 15:01:53 浏览: 44
Python字符替换绕过是指在Web应用程序中,攻击者可以通过修改请求参数中的特定字符来绕过应用程序的安全机制,从而执行恶意操作。其中一种常见的绕过技术是使用双下划线或双下划线加两个字符来替换敏感字符,例如类名或函数名。这种技术可以绕过一些安全机制,例如WAF(Web应用程序防火墙)和输入验证。在Python中,可以使用attr()函数来实现这种字符替换绕过技术。
举个例子,如果一个Web应用程序使用以下代码来验证请求参数中的类名是否为"User":
```
if request.GET.get('class') == 'User':
# do something
else:
# do something else
```
攻击者可以通过将请求参数中的"class"替换为"__class__"来绕过这个验证:
```
?__class__=User
```
这样,当应用程序使用attr()函数来获取请求参数中的"class"时,它实际上会获取"__class__",从而绕过了输入验证。