En la documentación de Python indica que pickle
no es seguro y no debe analizar las entradas de usuario no confiables. Si investigas esto; casi todos los ejemplos lo demuestran con una llamada system()
a través del os.system
.Comprender la inseguridad de Python Pickle
Lo que no me queda claro, es cómo se interpreta os.system
correctamente sin importar el módulo os
.
>>> import pickle
>>> pickle.loads("cos\nsystem\n(S'ls /'\ntR.") # This clearly works.
bin boot cgroup dev etc home lib lib64 lost+found media mnt opt proc root run sbin selinux srv sys tmp usr var
0
>>> dir() # no os module
['__builtins__', '__doc__', '__name__', '__package__', 'pickle']
>>> os.system('ls /')
Traceback (most recent call last):
File "<stdin>", line 1, in <module>
NameError: name 'os' is not defined
>>>
¿Alguien me puede explicar?
+1 para encontrar el código del módulo – tMC