<br><br>On Monday, September 3, 2018, Cameron Simpson <<a href="mailto:cs@cskk.id.au">cs@cskk.id.au</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 03Sep2018 20:58, Wes Turner <<a href="mailto:wes.turner@gmail.com" target="_blank">wes.turner@gmail.com</a>> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
So, if an application accepts user-supplied input (such as a JSON payload),<br>
is that data marked as non-executable?<br>
</blockquote>
<br>
Unless you've hacked the JSON decoder (I think you can supply a custom decoder for some things) all you're doing to get back is ints, strs, dicts and lists.  And floats. None of those is executable.</blockquote><div><br></div><div>Can another process or exploitable C extension JMP to that data or no?</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Cheers,<br>
Cameron Simpson <<a href="mailto:cs@cskk.id.au" target="_blank">cs@cskk.id.au</a>><br>
______________________________<wbr>_________________<br>
Python-ideas mailing list<br>
<a href="mailto:Python-ideas@python.org" target="_blank">Python-ideas@python.org</a><br>
<a href="https://mail.python.org/mailman/listinfo/python-ideas" target="_blank">https://mail.python.org/mailma<wbr>n/listinfo/python-ideas</a><br>
Code of Conduct: <a href="http://python.org/psf/codeofconduct/" target="_blank">http://python.org/psf/codeofco<wbr>nduct/</a><br>
</blockquote>