1
我有一個小應用程序,它通過執行一個進程來處理http請求,併爲用戶提供的查詢字符串提供一些輸入。我想知道什麼是過濾遠程執行輸入的最佳方法。 PHP的替代,例如會是這樣的: http://php.net/manual/en/function.escapeshellarg.php使用Golang安全地執行命令(避免遠程執行)
眼下的輸入應該是一個有效的URL,如果這使得它更容易,但非常一般的過濾器將是首選。
A
回答
4
通常這樣的魔法功能很難正確使用,如果您嚴重依賴它們,它們通常會讓您的應用程序面臨攻擊。
我建議您使用智能URL /請求方案來獲取運行所需的命令,並在用戶請求和shell執行之間放置一定級別的解釋,以免由用戶直接使用參數。
您可以獲得包含?verbose=true的請求,並在命令行上將它們轉換爲-v,例如。當處理像字符串這樣的用戶輸入時,需要直接給正在運行的命令,你需要用引號做簡單的轉義(用一個簡單的檢查來查看輸入是否包含引號),以確保你不會遇到「Bobby表「的問題。
另一種方法是通過管道或文件讓程序和底層命令交換數據。這將減少離開命令輸入的開放攻擊向量的可能性。
相關問題
- 1. 遠程執行命令
- 2. 執行Python命令遠程
- 3. linux遠程執行命令
- 4. 遠程docker命令執行
- 5. golang中執行MacOSx命令
- 6. 如何執行'top'使用Golang執行命令輸出
- 7. 通過Golang運行FFMPEG命令執行
- 8. golang:在遠程服務器上執行shell命令
- 9. PowerShell:執行遠程命令並寫入StdError。如何避免錯誤信息?
- 10. SSH遠程命令執行和的ulimit
- 11. gcloud計算執行遠程命令
- 12. 正確執行遠程PS命令
- 13. 遠程執行命令 - 無等待
- 14. 從網頁執行遠程PowerShell命令
- 15. SSH遠程機器和執行命令
- 16. phpseclib無法遠程執行命令
- 17. Linux - 遠程命令執行和.bashrc
- 18. 執行遠程命令 - 蘇anotheruser在Rundeck
- 19. 遠程服務器命令執行
- 20. 執行命令shell從PHP遠程
- 21. WMI如何遠程執行命令?
- 22. VBScript管理CMD命令遠程執行
- 23. 在遠程服務器上執行命令行命令
- 24. 從命令行執行DB2命令到遠程服務器
- 25. 使用teamcity命令行執行ssh遠程登錄的問題
- 26. Golang:在腳本內部執行命令?
- 27. Golang爲CMD執行cd命令
- 28. 使用eval安全地執行功能
- 29. 執行根命令沒有根用戶避免密碼提示
- 30. 地圖執行命令VIM
如果您使用[os/exec](http://golang.org/pkg/os/exec/),則不會將它傳遞到shell,因此不需要執行shell轉義。你應該非常仔細地驗證輸入! –
是的,使用os.exec,不知道它沒有通過它很好的知道它的殼。但即使它不是像「command &&惡意」應該工作的例子? – Feras
本質上,PHP通過將進程執行卸載到shell(甚至不保證爲sh兼容的shell)並使您完成安全工作而得到錯誤。幾乎所有其他語言的os庫都直接調用內核,因此可以隱式避免注入攻擊。 – krait