PTT
Submit
Submit
选择语言
正體中文
简体中文
PTT
C_and_CPP
[问题] 关于server接受client的shell指令之安全
楼主:
sirusi
(印)
2017-06-14 12:56:33
大家好 我在阅读Beej's Guide中文译本时,不太能理解下列这段文字:
(http://beej-zhtw.netdpi.net/08-FAQ)
以下是我有疑问的一段内文 (疑问处使用绿色标记)
作者:
pili100
(zelda)
2017-06-14 13:51:00
我是不知道foobar是什么简单说,指令不用明码传送
作者:
x000032001
(版废了该走了)
2017-06-14 14:45:00
大致上是个wrapper 类似
https://url.fit/ZZRBN
查查command injection就蛮多资讯了
作者:
hn12404988
(Willy)
2017-06-14 19:25:00
投wrapper一票
作者:
jackace
(inevitable......)
2017-06-14 20:17:00
只要有一个概念就行了 : DON'T DO THIS
作者: longlongint (华哥尔)
2017-06-14 23:03:00
一般做法 只开固定功能 参数只给填纯数值让人填指令的做法真的很北七
作者:
Neisseria
(Neisseria)
2017-06-15 07:41:00
让人填指令感觉就是自已开洞给别人进来
楼主:
sirusi
(印)
2017-06-15 10:05:00
非常谢谢各位大大提供的方向!
作者: alex70266 (小眼)
2017-06-16 22:48:00
最简单的想法就是client side丢过来的东西一定要验证因为不能设想request参数都是安全的
作者: pttuser (pttuser)
2017-06-17 23:33:00
填指令当然没问题,有问题的是安全性,加上sandbox吧
作者:
Killercat
(杀人猫™)
2017-06-18 14:45:00
其实我不太懂 安全性的东西不是server要负责的吗?SELinux就是这种思维下的产物 怎么会跑去要client负责一个operation“安不安全”的定义 怎样都不是client管今天client就算定一堆定义 别人sniffer你 一样可以绕过client的规范,这完全不是一个安全的系统该有的做法
继续阅读
[问题] 双重指标的使用
ToastCheng
[问题] OPENCV开启影片档
yykkl
Re: [问题] api是什么?
CoNsTaR
Re: [问题] api是什么?
s25g5d4
[问题] 使用c++/clr做为c#与c++的桥梁 (已解决)
s4300026
Re: [问题] api是什么?
Hazukashiine
Re: [问题] api是什么?
AWEN221
Re: [问题] template ostream
LPH66
[问题] template ostream
moebear
[问题] 把四个字符打包成一个unsigned int
faradair
Links
booklink
Contact Us: admin [ a t ] ucptt.com