仮にbashファイルの構文をチェックするWebサービスを作成しているbash -n場合、ユーザー入力で実行することにセキュリティ上の懸念はありますか?
質問する
49 次
1 に答える
2
私が知る-n限り、期待どおりに機能するはずですが、それでも注意が必要です。信頼できないコードの構文チェックに使用することを真剣に検討していることや、Cライブラリ内またはCライブラリ内のbash -nバグを認識していません。bashここでは、推論が難しい方法で悪用される可能性のある影響がどこにでもある可能性があります。
ユーザー入力を絶対に信用しないことは常に賢明であるように思われ、bashのような大きなコードベースはバグを隠すための大きな場所です。
これが私がすることです:
- 静的にリンクされた制限付きbashを実行するchrootjailを準備します
- 目的のためにroot以外のユーザーを準備する
- テンプレートからjailを構築し、ソースファイルをchrootし、特権を削除し、(1)とdups(2)を除くすべてのfdsを閉じて、最後に
bash -nプログラムで実行するスクリプトを記述します。
于 2013-01-12T12:24:12.893 に答える