0
我得到一個shell腳本的安全問題:什麼是參與這一文件
#!/bin/sh
#file name : eg.1
X=$1
eval "$X"
如果我啓動此腳本爲一組用戶或其他用戶,有沒有提出的任何安全問題?
A
回答
0
eval命令功能非常強大,非常容易被濫用。 它會導致您的代碼被解析兩次而不是一次;這意味着,例如,如果您的代碼中包含變量引用,那麼shell的解析器將評估該變量的內容。如果變量包含一個shell命令,shell可能會運行該命令,無論您是否希望它。這可能會導致意想不到的結果,特別是可以從不受信任的來源讀取變量時。
# This code is evil and should never be used!
fifth() {
_fifth_array=$1
eval echo "\"The fifth element is \${$_fifth_array[4]}\"" # DANGER!
}
a=(zero one two three four five)
fifth a
輸出
fifth 'x}"; date; #'
第五元件是 星期四03月27日16時13分47秒EDT 2014
more details
相關問題
- 1. 是$什麼(這一點),這
- 2. 這是什麼編碼/爲什麼這些.txt文件不是純文本?
- 3. 這些WCF服務參考文件是什麼
- 4. 什麼是.htaccess文件。爲什麼我們使用這個文件。使用這個文件有什麼好處?
- 5. 什麼是這個文件MIMEType
- 6. 所有這些* .FileListAbsolute.txt文件是什麼?
- 7. 這個文件是什麼? Class.php in wordpress
- 8. 這是什麼文件W32.Malware.Heur?
- 9. 這方面的文件是什麼?
- 10. 這些git dot un文件是什麼?
- 11. 這是什麼類型的文件?
- 12. .htaccess中的這個文件是什麼?
- 13. 這個文件的來源是什麼?
- 14. 這是爲什麼不從txt文件
- 15. 這個文件是什麼:.terraform.tfstate.lock.info?
- 16. 這是什麼樣的散列文件?
- 17. 這是什麼意思@ -moz-文件
- 18. 什麼是一個jQuery插件,這樣
- 19. 爲什麼這個不是給我的文件一行一行
- 20. 什麼是與.NET程序集文件一起的XML文件?
- 21. 這段代碼有什麼問題,特別是與文件?
- 22. 與NSOperation一起做這件事會是什麼樣子?
- 23. 這是什麼TFS圖標,它與文件夾圖標有什麼不同?
- 24. 這是爲什麼產生一個java.lang.StackOverflowError,這是什麼意思?
- 25. 這是什麼控件?
- 26. 這些控件是什麼?
- 27. 什麼是這些插件?
- 28. 這些參數是指什麼?
- 29. 這是什麼意思參考Intents?
- 30. 這是什麼意思的參考?
這完全取決於什麼這個腳本的參數是。這是整個劇本嗎?這似乎有點無意義。 –
是的,它是,我想知道如果我餵我任何惡意參數,是否會對系統進行任何安全問題。 – VinceFIT
答案是:是的。 –