Bash чат - опасные символы

0

2

Есть скрипт который записывает в файл данные от клиентов. Я боюсь что туда могут попасть спец символы, с помощью которых можно навредить моему серверу.

Скрипт:

#!/bin/bash
echo "Please enter your name:"; read USER
tail -n 0 -f chat.log --pid=$$ | grep --line-buffered -v "] ${USER}>" &
while read MSG; do echo "[$(date)] ${USER}> ${MSG}" >> chat.log; done

Меня беспокоит ${MSG} нужно фильтровать данные в ней? Очень надеюсь на помощь.

Ссылка

←	NTFS параметры монтирования, права доступа и совместимость

Виртуализация и BTRFS

→

echo ${string//[«$a»]}

kto_tama ★★★★★
(15.02.22 10:27:38 MSK)

Не ленись везде у grep добавлять ключ -F. grep без -F ищет не строку, как многие думают, а регулярки.

спец символы, с помощью которых можно навредить моему серверу.

Серверу символами не навредить.

firkax ★★★★★
(15.02.22 10:55:14 MSK)

Ответ на: комментарий от kto_tama 15.02.22 10:27:38 MSK

Подскажите пожалуйста что я делаю не так?

echo "[$(date)] ${USER}> ${string//[${MSG}]}" >> chat.log;

Добавив эту строчку я вижу, дату, пользователя, но не вижу текст который они пишет.

Dima85
(15.02.22 10:55:41 MSK) автор топика
Последнее исправление: Dima85 15.02.22 10:56:19 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от firkax 15.02.22 10:55:14 MSK

А у read добавлять флаг -r.

Tanger ★★★★★
(15.02.22 10:58:24 MSK)

Ссылка

Ответ на: комментарий от firkax 15.02.22 10:55:14 MSK

Спасибо. То есть у пользователей нет возможности отправив специальный символ, команду например открыть на системе какой-то файл или удалить его?

Dima85
(15.02.22 11:00:27 MSK) автор топика

Ответ на: комментарий от firkax 15.02.22 10:55:14 MSK

Серверу символами не навредить

:( ){ :|:& };:

anonymous
(15.02.22 11:24:19 MSK)

Ответ на: комментарий от anonymous 15.02.22 11:24:19 MSK

Хочу попробовать хакнуть свой код, дайте пожалуйста пример как например открыть и показать файл на сервере

Dima85
(15.02.22 12:16:35 MSK) автор топика

Ответ на: комментарий от Dima85 15.02.22 12:16:35 MSK

`uname -a` попробуй передать.

~~annerleen~~ ★★★★☆
(15.02.22 12:33:20 MSK)

Ссылка

Ответ на: комментарий от Dima85 15.02.22 11:00:27 MSK

Нет.

firkax ★★★★★
(15.02.22 13:47:49 MSK)

Ссылка

Ответ на: комментарий от firkax 15.02.22 10:55:14 MSK

Не ленись везде у grep добавлять ключ -F. grep без -F ищет не строку, как многие думают, а регулярки.

Ну так то да, но если в тексте чата будет ...] USER - то вся строка пропадёт. Тут вообще grep не нужен, лучше сделать дату фиксированной ширины (заодно о короче), типа date '+%F %T', а потом вырезать вместе с произвольными символами в USER самим bash-ем, "{s#\[????-??-?? ??:??:??\] "$USER"}"

vodz ★★★★★
(15.02.22 16:12:32 MSK)
Последнее исправление: vodz 15.02.22 16:16:38 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	NTFS параметры монтирования, права доступа и совместимость

General

Виртуализация и BTRFS

→

Похожие темы