Bezpečnostní zneužití wildcards v Unixu

Martin Schlemmer

verified

(36 hodnocení)

26. 8. 2014 07:27:10

Unix Wildcards Gone Wild

Řešením je prefixovat každou wildcard

Nebo odsadit všechny wildcards za "--"

Viz také

Filenames and Pathnames in Shell (bash, dash, ash, ksh, and so on): How to do…

26. 8. 2014 07:27:10

https://webtrh.cz/diskuse/bezpecnostni-zneuziti-wildcards-v-unixu#reply1050131

verified

26. 8. 2014 12:28:31

Proc? Vzdyt je to blbost to delat.

26. 8. 2014 12:28:31

https://webtrh.cz/diskuse/bezpecnostni-zneuziti-wildcards-v-unixu#reply1050130

Martin Schlemmer

verified

(36 hodnocení)

26. 8. 2014 12:37:51

Je blbost dělat co?

26. 8. 2014 12:37:51

https://webtrh.cz/diskuse/bezpecnostni-zneuziti-wildcards-v-unixu#reply1050129

verified

26. 8. 2014 15:38:41

Napsal Martin Schlemmer;1118506
Je blbost dělat co?

Prefixovat to, mozna mi neco unika, ale nevidim duvod proc to delat.

---------- Příspěvek doplněn 26.08.2014 v 15:48 ----------

Jestli to je jen kvuli nehode, neni lepsi si dat do aliasu pro rm "rm -i" ? Ono se to pak zepta:

# rm -rf -i *

rm: descend into directory `bin'?

26. 8. 2014 15:38:41

https://webtrh.cz/diskuse/bezpecnostni-zneuziti-wildcards-v-unixu#reply1050128

verified

31. 8. 2014 21:50:20

Tohle tema jsem fakt asi nepochopil.

31. 8. 2014 21:50:20

https://webtrh.cz/diskuse/bezpecnostni-zneuziti-wildcards-v-unixu#reply1050127

Juraj Kostolanský

verified

(18 hodnocení)

31. 8. 2014 22:39:33

Presne tak, nepochopil. Treba si poriadne prečítať článok. Ide o to, že ak v linuxe pustíš príkaz s wildcardom, názvy súborov sú argumentami. Ak je názov niektorého súboru takým argumentom, ktorému daný program rozumie inak ako názvu súboru (typicky začína na "-"), tak sa tým ovplyvní vykonávanie toho programu. V článku napr ukážka

(napr. aj cronom v rámci zálohovania), ak v sa danom priečinku nachádza súbor, ktorého názov je parametrom pre daný program

môžeš tým napr. dosiahnuť spustenie podhodeného kódu iným userom (ktorý spúšťa ten príkaz s wildcardom, čo môže byť kludne zle vytvorený cron pre roota). Je preto dobrou praktikou používať vyššie spomenutý prefix "./*".

31. 8. 2014 22:39:33

https://webtrh.cz/diskuse/bezpecnostni-zneuziti-wildcards-v-unixu#reply1050126

verified

31. 8. 2014 23:21:33

Jo tak to uz chapu, nejak jsem se nad tim totiz nepozastavoval, protoze to za ty roky povazuju za samozrejmost a nejak si nejdriv kontroluju co mazu.

31. 8. 2014 23:21:33

https://webtrh.cz/diskuse/bezpecnostni-zneuziti-wildcards-v-unixu#reply1050125

Martin Schlemmer

verified

(36 hodnocení)

1. 9. 2014 12:34:27

Přečtěte si ten článek. Nejde o problém s rm, ale s wildcards, které se dají zneužít např. přes rm, rsync, tar apod. k vykonání vlastního příkazu.

1. 9. 2014 12:34:27

https://webtrh.cz/diskuse/bezpecnostni-zneuziti-wildcards-v-unixu#reply1050124

Pro odpověď se přihlašte.

Prodej Více

Předám nevyužitou firmu bez aktivity

1 Kč

0 příhozů

Prodám doménu Starflix.sk – DR 56, žádné spamové skóre!

1 299 Kč

0 příhozů

ITmix | Zavedený výdělečný affiliate projekt s kvalitním obsahem a mezinárodní expanzí

1 111 Kč

0 příhozů

Prémiová třípísmenná doména MZP.sk (historie od 2007)

1 699 Kč

0 příhozů

🔞 Ziskový e-shop s erotickými pomůckami

1 000 Kč

0 příhozů

Poptávky Více

Hledám realitního tipaře pro naši realitní kancelář

Koupím starší Gmail účty

Poptávka: webové stránky, Ledeč nad Sázavou

Úprava modulu zásilkovny v našem eshopu

Pracovní nabídky Více

𝗧𝗲𝘀𝘁 𝗘𝗻𝗴𝗶𝗻𝗲𝗲𝗿

Práce z domu, Praha

.NET Developer (ECS)

React developer

Brno, České Budějovice, Hradec Králové, Jihlava, Karlovy Vary, Liberec, Olomouc, Opava, Ostrava, Pardubice, Plzeň, Práce z domu, Praha, Ústí nad Labem, Zlín

40 000 - 80 000 Kč

Nabídky Více

Výprodej domén

⚡Webové stránky rychle, kvalitně a za skvělou cenu⚡ 3999,-Kč

Osobní přístup, žádná agentura – Marketingové služby, které nakopnou váš business

AI živý operátor pro vaše podnikání!

Úprava a správa XML feedů v aplikaci Mergado a Napojse, Shoptet, Marketplace, Amazon, Kaufland , Allegro a další.