linux – BASH Script作为xinetd服务
发布时间:2020-12-14 03:03:39 所属栏目:Linux 来源:网络整理
导读:我最近发现我正在处理的服务器有一个xinetd服务,实际上是一个 shell脚本,它调用另一个 shell脚本,并通过相应的网络连接检索参数. 它做了这样的事情: /execute/another/script $WITH $A $FEW $ARGUMENTS 令我担心这是一个真正的问题是变量没有以任何方式消毒
|
我最近发现我正在处理的服务器有一个xinetd服务,实际上是一个
shell脚本,它调用另一个
shell脚本,并通过相应的网络连接检索参数.
它做了这样的事情: /execute/another/script $WITH $A $FEW $ARGUMENTS 令我担心这是一个真正的问题是变量没有以任何方式消毒,因为这是以root身份执行的,所以需要认真对待. 有人可以建议吗?我也很想知道如何在这种情况下滥用变量以便执行其他操作,有人可以提供示例吗? 解决方法
我可以看到两种类型的攻击.一个针对脚本本身,通过使用可以提升特权的数据调用它.另一个反对bash,使用缓冲区溢出或其他bash错误.一个问题是bash并不是为了对这种攻击提供良好的安全性,因为它希望输入是由与启动它的人相同的人提供的.
至少我会更新bash脚本以便能够以普通用户身份运行并使用sudo或其他Unix机制来处理需要提升权限的事情. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |