0
我得到一个shell脚本的安全问题:什么是参与这一文件
#!/bin/sh
#file name : eg.1
X=$1
eval "$X"
如果我启动此脚本为一组用户或其他用户,有没有提出的任何安全问题?
A
回答
0
eval命令功能非常强大,非常容易被滥用。 它会导致您的代码被解析两次而不是一次;这意味着,例如,如果您的代码中包含变量引用,那么shell的解析器将评估该变量的内容。如果变量包含一个shell命令,shell可能会运行该命令,无论您是否希望它。这可能会导致意想不到的结果,特别是可以从不受信任的来源读取变量时。
# This code is evil and should never be used!
fifth() {
_fifth_array=$1
eval echo "\"The fifth element is \${$_fifth_array[4]}\"" # DANGER!
}
a=(zero one two three four five)
fifth a
输出
fifth 'x}"; date; #'
第五元件是 星期四03月27日16时13分47秒EDT 2014
more details
相关问题
- 1. 是$什么(这一点),这
- 2. 这是什么编码/为什么这些.txt文件不是纯文本?
- 3. 这些WCF服务参考文件是什么
- 4. 什么是.htaccess文件。为什么我们使用这个文件。使用这个文件有什么好处?
- 5. 什么是这个文件MIMEType
- 6. 所有这些* .FileListAbsolute.txt文件是什么?
- 7. 这个文件是什么? Class.php in wordpress
- 8. 这是什么文件W32.Malware.Heur?
- 9. 这方面的文件是什么?
- 10. 这些git dot un文件是什么?
- 11. 这是什么类型的文件?
- 12. .htaccess中的这个文件是什么?
- 13. 这个文件的来源是什么?
- 14. 这是为什么不从txt文件
- 15. 这个文件是什么:.terraform.tfstate.lock.info?
- 16. 这是什么样的散列文件?
- 17. 这是什么意思@ -moz-文件
- 18. 什么是一个jQuery插件,这样
- 19. 为什么这个不是给我的文件一行一行
- 20. 什么是与.NET程序集文件一起的XML文件?
- 21. 这段代码有什么问题,特别是与文件?
- 22. 与NSOperation一起做这件事会是什么样子?
- 23. 这是什么TFS图标,它与文件夹图标有什么不同?
- 24. 这是为什么产生一个java.lang.StackOverflowError,这是什么意思?
- 25. 这是什么控件?
- 26. 这些控件是什么?
- 27. 什么是这些插件?
- 28. 这些参数是指什么?
- 29. 这是什么意思参考Intents?
- 30. 这是什么意思的参考?
这完全取决于什么这个脚本的参数是。这是整个剧本吗?这似乎有点无意义。 –
是的,它是,我想知道如果我喂我任何恶意参数,是否会对系统进行任何安全问题。 – VinceFIT
答案是:是的。 –