LINUX.ORG.RU

Исполнение shell bash через http

 ,


0

2

Есть скрипт. В который передаются параметры вида: http://localhost/test.sh?param?param2

В этом скрипте эти два параметра обрабатываются далее пишутся в текстовый файл, который должен переместится в директорию с учетной программой.

Как обезопасить все это дело?


Если это вопрос про то, как правильно писать cgi-bin скрипт на bash'е, погуглите. В общем то, те же самы правила, что и для обычных скриптов, парсящих параметры из командной строки.

А каких либо специальных настроек httpd для обезопасивание дырок в bash'е типа 'shellshock' я не знаю.

mky ★★★★★
()
Ответ на: комментарий от mky

не подскажешь где достать заплатку не обновляя всю систему? Debian 3.2.54-2 i686 GNU/Linux

tits
() автор топика

Убрать bash оттуда. Хочешь запускать bash через веб — пожалуйста, но убери к чёрту его от веб-сервера подальше и выкинь CGI вообще.

x3al ★★★★★
()
Ответ на: комментарий от tits

ок скажи язык на котором можно так же просто и быстро писать скрипты как на баше

зачем, когда можно взять тот, на котором проще, дабы не плеваться при написании чего-либо более сложного, чем пайп из нескольких бинарей

anonymous
()
Ответ на: комментарий от tits

Я не про скрипт, а про твой CGI-обрубок. Там баш не нужен. Обрабатывай параметры тем, что предназначено для веба, а не обёрткой для shellshock'а.

x3al ★★★★★
()
Ответ на: комментарий от anonymous

Вы имеете ввиду. Например, чтобы на питоне принимал параметры, а потом эти параметры через пайп отдавал баш скрипту?

tits
() автор топика
Ответ на: комментарий от x3al

Баш используется вот для каких целей: 1. Принимает параметры из адресной строки 2. Подставляет полученные параметры в шаблон текста. 3. ДАлее этот шаблон текста записывает в файл. 4. Далее этот файл перемещает в каталог учетной программы. готово. написал я это за 5 минут. Как сейчас быть хз.

tits
() автор топика
Ответ на: комментарий от tits

1. Принимает параметры из адресной строки 2. Подставляет полученные параметры в шаблон текста.

Не проверяя их? И ты ещё смеешь пищать о безопасности?

x3al ★★★★★
()
Ответ на: комментарий от tits

верней подругому функционал реализолован. и сейчас задумался о безопасности. Проверка будет, но наткнулся на уязвимости в баше. и хз че делать

tits
() автор топика
Ответ на: комментарий от tits

На баше делать проверку неудобно до жути. Особенно в CGI. Вообще, CGI давно пора на свалку истории.

x3al ★★★★★
()
Ответ на: комментарий от x3al

Почему не удобно, очень даже. приходит нам $1 и $2 это числовые значения. Далее подставляем их в Pgsql запрос где идет проверка. Есть ли данные знанчения в базе или нет. Если есть, то втсавляем в шаблон. Нету? Пишем ошибку.

tits
() автор топика
Ответ на: комментарий от tits

переписал на php на мое удивление такой же простой скриптовый язык как и bash

tits
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.