linux – 在PATH环境变量中使用相对路径的安全隐患?
发布时间:2020-12-13 17:03:23 所属栏目:Linux 来源:网络整理
导读:我们有一个审计只是标记我们在$PATH env变量中有相对路径.我不确定这是否真的是一个安全问题,并希望与所有人联系,看看这是否真的是一个安全问题,或者它是否只是我认为的最佳做法.有人可以提供有关使用$PATH与亲属的任何安全问题的信息吗?谢谢 解决方法 在$P
|
我们有一个审计只是标记我们在$PATH env变量中有相对路径.我不确定这是否真的是一个安全问题,并希望与所有人联系,看看这是否真的是一个安全问题,或者它是否只是我认为的最佳做法.有人可以提供有关使用$PATH与亲属的任何安全问题的信息吗?谢谢
解决方法
在$PATH中拥有相对路径的问题是,如果攻击者可以在文件系统中创建具有给定名称的文件,则可能会执行该文件.
示例:df或者监控说/ var已满,du说它是/ var / spool / ftp / uploads,你做什么的? cd /var/spool/ftp/uploads ls -ltr 而且你是拥有的.你甚至没有在输出中看到ls,所以你永远不会知道. 将ftp上传替换为某个客户端网站的某个数据目录,或共享计算机的/ tmp目录或许多其他内容. 不可否认,它不会经常发生,但存在风险,并且编写./script而不是脚本很容易. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |