3
比方說,我在Rails控制器:傳遞外殼牢固命令參數隨%×[]在Ruby中
dir = params[:dir]
output = %x[ls #{dir}]
這是一個巨大的安全漏洞,如果有人崗位dir="foo; rm -rf /"
所以我需要保護參數。我知道我可以做
system "ls", dir
但是這種方法不捕獲標準輸出!
那麼,我該如何安全地將參數傳遞給%x []?
A
回答
3
問題是,%x()基本上將一個字符串交給shell進行解析,所以你不得不轉義shell可能解釋的所有東西。所以%x幾乎不在窗口,如果你需要處理你自己沒有建立的任何東西(和事件,那麼它是可疑的)。
一種解決方案是使用Open3.capture3:
out, err, status = Open3.capture3('/bin/ls', dir)
,然後用標準的輸出(out)和標準誤差(err)根據需要返回處理。 Open3還有一些其他的東西可以更好地滿足您的需求。
1
你看過Ruby的安全級別嗎?
http://www.ruby-doc.org/docs/ProgrammingRuby/html/taint.html
對於等級> = 2,它說 「無法更改,製作或刪除目錄,或使用的chroot。」
以前也有過沙盒寶石,但我不確定它是否仍然有效。您還可以看看「嘗試Ruby!」的來源。那裏必須有一些沙盒。
+0
這是一個很好的建議,但我更願意找到一個最簡單的方法。畢竟,如果系統可以做到這一點,執行應該也能做到這一點:) – Blacksad
相關問題
- 1. 殼參數doest傳遞命令
- 2. 從外殼的命令行傳遞參數
- 3. 不能從命令外殼提示傳遞開關參數
- 4. 外殼命令
- 5. 在perl中傳遞命令行參數
- 6. 在C中傳遞命令參數
- 7. 在命令中傳遞Gulp參數
- 8. 在C++中傳遞命令行參數
- 9. 傳遞命令行參數
- 10. 傳遞命令行參數
- 11. 命令行參數傳遞
- 12. 傳遞命令行參數
- 13. 傳遞命令參數
- 14. 傳遞命令行參數
- 15. 的.desktop與命令行參數傳遞到exec(類似於外殼腳本)
- 16. 從命令外殼
- 17. 傳遞命令行參數,參數
- 18. EXPR命令不在外殼
- 19. 傳遞參數 - 殼牌
- 20. 傳遞命令行選項 - 殼腳本
- 21. PowerShell中傳遞命令行參數
- 22. 傳遞命令行參數在Python
- 23. 傳遞命令行參數在mvn exec:exec
- 24. 傳遞父參考的命令參數
- 25. 傳遞外殼命令與Python使用os.system()或subprocess.check_call()
- 26. 傳遞腳本命令/輸入到打開的WinSCP外殼
- 27. 牢固
- 28. 將C#中的命令行參數傳遞給外部exe
- 29. 傳遞參數與換行符在VIM外部命令
- 30. 故障傳遞的命令行參數的Ruby腳本和命令行
正是我在找什麼,謝謝! – Blacksad