[Vienna-pm] Zusätzlicher Nachtrag zu Escapen von Shellparametern: Fehler oder Feature?
Peter J. Holzer
hjp-vienna-pm-list at hjp.at
Mon May 5 07:31:37 PDT 2008
On 2008-05-05 15:55:16 +0200, Calli wrote:
> Frage zu den backticks, bzw system und exec: welches 'schlüsseloch' für
> Unerwünschte mit Unerwünschtem öffen die auf welche Weise eigentlich?
> Oder anders gefragt, wann und wo würde es damit gefährlich werden?
Stell Dir vor, das Script, das den URL checkt, ist ein CGI-Script (oder
mod_perl, oder suid, oder ...) und fragt den Benutzer nach dem URL. Der
Benutzer gibt ein:
http://www.example.net; rm -rf /
hp
--
_ | Peter J. Holzer | It took a genius to create [TeX],
|_|_) | Sysadmin WSR | and it takes a genius to maintain it.
| | | hjp at hjp.at | That's not engineering, that's art.
__/ | http://www.hjp.at/ | -- David Kastrup in comp.text.tex
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: Digital signature
Url : http://mail.pm.org/pipermail/vienna-pm/attachments/20080505/4c3f46c8/attachment.bin
More information about the Vienna-pm
mailing list