https://blog.qife122.com/tags/%E5%AD%90%E8%BF%9B%E7%A8%8B%E5%AE%89%E5%85%A8/ Recent content in 子进程安全 on 办公AI智能小助手 Hugo zh-cn qife Fri, 05 Sep 2025 21:31:23 +0800 https://blog.qife122.com/p/python-subprocess%E6%A8%A1%E5%9D%97%E5%91%BD%E4%BB%A4%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Fri, 05 Sep 2025 21:31:23 +0800 https://blog.qife122.com/p/python-subprocess%E6%A8%A1%E5%9D%97%E5%91%BD%E4%BB%A4%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="报告-2904921---操作系统命令注入subprocess模块使用">报告 #2904921 - 操作系统命令注入（subprocess模块使用）</h1> <p><strong>提交者</strong>: bulter<br> <strong>提交时间</strong>: 2024年12月17日 19:54 UTC<br> <strong>报告对象</strong>: curl</p> <h2 id="摘要">摘要</h2> <p>Bandit工具在curl.py文件中检测到subprocess模块的使用，触发了B404:blacklist规则。该规则强调了在使用subprocess模块时若未对输入进行适当清理可能带来的安全风险，这可能导致命令注入漏洞。</p>