PTT
Submit
Submit
選擇語言
正體中文
简体中文
PTT
C_and_CPP
[問題] 關於server接受client的shell指令之安全
作者:
sirusi
(印)
2017-06-14 12:56:33
大家好 我在閱讀Beej's Guide中文譯本時,不太能理解下列這段文字:
(http://beej-zhtw.netdpi.net/08-FAQ)
以下是我有疑問的一段內文 (疑問處使用綠色標記)
作者:
pili100
(zelda)
2017-06-14 13:51:00
我是不知道foobar是什麼簡單說,指令不用明碼傳送
作者:
x000032001
(版廢了該走了)
2017-06-14 14:45:00
大致上是個wrapper 類似
https://url.fit/ZZRBN
查查command injection就蠻多資訊了
作者:
hn12404988
(Willy)
2017-06-14 19:25:00
投wrapper一票
作者:
jackace
(inevitable......)
2017-06-14 20:17:00
只要有一個概念就行了 : DON'T DO THIS
作者: longlongint (華哥爾)
2017-06-14 23:03:00
一般做法 只開固定功能 參數只給填純數值讓人填指令的做法真的很北七
作者:
Neisseria
(Neisseria)
2017-06-15 07:41:00
讓人填指令感覺就是自已開洞給別人進來
作者:
sirusi
(印)
2017-06-15 10:05:00
非常謝謝各位大大提供的方向!
作者: alex70266 (小眼)
2017-06-16 22:48:00
最簡單的想法就是client side丟過來的東西一定要驗證因為不能設想request參數都是安全的
作者: pttuser (pttuser)
2017-06-17 23:33:00
填指令當然沒問題,有問題的是安全性,加上sandbox吧
作者:
Killercat
(殺人貓™)
2017-06-18 14:45:00
其實我不太懂 安全性的東西不是server要負責的嗎?SELinux就是這種思維下的產物 怎麼會跑去要client負責一個operation「安不安全」的定義 怎樣都不是client管今天client就算定一堆定義 別人sniffer你 一樣可以繞過client的規範,這完全不是一個安全的系統該有的做法
繼續閱讀
[問題] 雙重指標的使用
ToastCheng
[問題] OPENCV開啟影片檔
yykkl
Re: [問題] api是什麼?
CoNsTaR
Re: [問題] api是什麼?
s25g5d4
[問題] 使用c++/clr做為c#與c++的橋樑 (已解決)
s4300026
Re: [問題] api是什麼?
Hazukashiine
Re: [問題] api是什麼?
AWEN221
Re: [問題] template ostream
LPH66
[問題] template ostream
moebear
[問題] 把四個字元打包成一個unsigned int
faradair
Links
booklink
Contact Us: admin [ a t ] ucptt.com