Bezpečnostní zneužití wildcards v Unixu

Martin Schlemmer

verified

(36 hodnocení)

26. 8. 2014 07:27:10

Unix Wildcards Gone Wild

Řešením je prefixovat každou wildcard

Nebo odsadit všechny wildcards za "--"

Viz také

Filenames and Pathnames in Shell (bash, dash, ash, ksh, and so on): How to do…

26. 8. 2014 07:27:10

https://webtrh.cz/diskuse/bezpecnostni-zneuziti-wildcards-v-unixu/#reply1050131

verified

26. 8. 2014 12:28:31

Proc? Vzdyt je to blbost to delat.

26. 8. 2014 12:28:31

https://webtrh.cz/diskuse/bezpecnostni-zneuziti-wildcards-v-unixu/#reply1050130

Martin Schlemmer

verified

(36 hodnocení)

26. 8. 2014 12:37:51

Je blbost dělat co?

26. 8. 2014 12:37:51

https://webtrh.cz/diskuse/bezpecnostni-zneuziti-wildcards-v-unixu/#reply1050129

verified

26. 8. 2014 15:38:41

Napsal Martin Schlemmer;1118506
Je blbost dělat co?

Prefixovat to, mozna mi neco unika, ale nevidim duvod proc to delat.

---------- Příspěvek doplněn 26.08.2014 v 15:48 ----------

Jestli to je jen kvuli nehode, neni lepsi si dat do aliasu pro rm "rm -i" ? Ono se to pak zepta:

# rm -rf -i *

rm: descend into directory `bin'?

26. 8. 2014 15:38:41

https://webtrh.cz/diskuse/bezpecnostni-zneuziti-wildcards-v-unixu/#reply1050128

verified

31. 8. 2014 21:50:20

Tohle tema jsem fakt asi nepochopil.

31. 8. 2014 21:50:20

https://webtrh.cz/diskuse/bezpecnostni-zneuziti-wildcards-v-unixu/#reply1050127

Juraj Kostolanský

verified

(18 hodnocení)

31. 8. 2014 22:39:33

Presne tak, nepochopil. Treba si poriadne prečítať článok. Ide o to, že ak v linuxe pustíš príkaz s wildcardom, názvy súborov sú argumentami. Ak je názov niektorého súboru takým argumentom, ktorému daný program rozumie inak ako názvu súboru (typicky začína na "-"), tak sa tým ovplyvní vykonávanie toho programu. V článku napr ukážka

(napr. aj cronom v rámci zálohovania), ak v sa danom priečinku nachádza súbor, ktorého názov je parametrom pre daný program

môžeš tým napr. dosiahnuť spustenie podhodeného kódu iným userom (ktorý spúšťa ten príkaz s wildcardom, čo môže byť kludne zle vytvorený cron pre roota). Je preto dobrou praktikou používať vyššie spomenutý prefix "./*".

31. 8. 2014 22:39:33

https://webtrh.cz/diskuse/bezpecnostni-zneuziti-wildcards-v-unixu/#reply1050126

verified

31. 8. 2014 23:21:33

Jo tak to uz chapu, nejak jsem se nad tim totiz nepozastavoval, protoze to za ty roky povazuju za samozrejmost a nejak si nejdriv kontroluju co mazu.

31. 8. 2014 23:21:33

https://webtrh.cz/diskuse/bezpecnostni-zneuziti-wildcards-v-unixu/#reply1050125

Martin Schlemmer

verified

(36 hodnocení)

1. 9. 2014 12:34:27

Přečtěte si ten článek. Nejde o problém s rm, ale s wildcards, které se dají zneužít např. přes rm, rsync, tar apod. k vykonání vlastního příkazu.

1. 9. 2014 12:34:27

https://webtrh.cz/diskuse/bezpecnostni-zneuziti-wildcards-v-unixu/#reply1050124

Pro odpověď se přihlašte.

Prodej Více

Adult Inzerce – pro pracující dívky

9 900 Kč

0 příhozů

Kreativní Omalovánky – prodej digitálních produktů

20 000 Kč

0 příhozů

WatchOnlineBuy.com – Váš kompletní online obchod připraven k použití

200 €

0 příhozů

💸 Srovnavač půjček abpujcky.cz

50 000 Kč

0 příhozů

P: databáze všech domén (všechny TLD) s automaticky aktualizovaným WHOIS

1 000 Kč

0 příhozů

Poptávky Více

Založení GA mimo EU

Kodér se zkušenostmi s tvorbou šablon pro phpBB fórum

Sháním specialistu na marketing

Úprava tiskových podkladů

Frontend Developer TypeScript, Nuxt, React, Angular

Pracovní nabídky Více

Software Architect

Hledáme React Native vývojáře na externí spolupráci

Práce z domu, Praha

Python developer

130 000 - 150 000 Kč

Business Analyst

Práce z domu, Praha

Nabídky Více

ŠÉFREDAKTORKA.CZ – Copywriting a obsah na míru

🌐💻📱Guava s.r.o. | Tvorba Webů, Aplikací, E-shopů, Mobilních aplikací, informačních systémů

Facebook skupiny

⭐️ KOKESDESIGN.CZ | LOGO DESIGN NA MÍRU ⭐️

WORDPRESS web na míru od 1000 Kč