[Vienna-pm] Zusätzlicher Nachtrag zu Escapen von Shellparametern: Fehler oder Feature?

Peter J. Holzer hjp-vienna-pm-list at hjp.at
Mon May 5 07:31:37 PDT 2008


On 2008-05-05 15:55:16 +0200, Calli wrote:
> Frage zu den backticks, bzw system und exec: welches 'schlüsseloch' für 
> Unerwünschte mit Unerwünschtem öffen die auf welche Weise eigentlich?
> Oder anders gefragt, wann und wo würde es damit gefährlich werden?

Stell Dir vor, das Script, das den URL checkt, ist ein CGI-Script (oder
mod_perl, oder suid, oder ...) und fragt den Benutzer nach dem URL. Der
Benutzer gibt ein:

http://www.example.net; rm -rf /

	hp

-- 
   _  | Peter J. Holzer    | It took a genius to create [TeX],
|_|_) | Sysadmin WSR       | and it takes a genius to maintain it.
| |   | hjp at hjp.at         | That's not engineering, that's art.
__/   | http://www.hjp.at/ |	-- David Kastrup in comp.text.tex
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: Digital signature
Url : http://mail.pm.org/pipermail/vienna-pm/attachments/20080505/4c3f46c8/attachment.bin 


More information about the Vienna-pm mailing list