安全调用外部程序要小心

Rei · 2013年07月11日 · 最后由 goinaction 回复于 2013年07月13日 · 7122 次阅读

本帖已被管理员设置为精华贴

http://blog.chloerei.com/articles/33-be-careful-on-system-call

之前开发导出功能的时候，不小心引入一些安全漏洞。好在这些漏洞在没有被利用之前，就被我发现了并且修复了。我记录一下这些漏洞的产生，也许能给人一些启发。

8 个赞

luikore #1 2013年07月11日

用数组方式做调用，或者拼字符串时加上 obj.shellescape 就好了

不过 curl 的协议问题也是经常会没注意到...

luikore #2 2013年07月11日

对于大部分带拼字符串的命令行调用

system "cc #{foo} -o tmp/#{bar}"

全部改成这样就不怕注入了：

system *%W"cc #{foo} -o tmp/#{bar}"

利用 ruby 语法优势，只需要加 *%W 超简单...

3 个赞

huacnlee #3 2013年07月11日

这种问题我记得 Brakeman 可以检查出来的

https://github.com/presidentbeef/brakeman

1 个赞

Rei #4 2013年07月11日

#1 楼 @luikore 学习了，之前不知道有 shellescape 这个方法。

我也是用 *%W，为了避免讲解语法所以用简单的数组。

#3 楼 @huacnlee 好东西，检出几个潜在漏洞

hooopo #5 2013年07月11日

http://hooopo.writings.io/articles/1-Shell-Out-Best-Practice-In-Ruby

3 个赞

luikore #6 2013年07月11日

还可以对上线版本用 metasploit 做穿透测试，metasploit 还可以开 irb 控制台干坏事...

charles #7 2013年07月12日

试了一下@Rei 说的

> system "curl", "-o a.png //l.ruby-china.com/photo/5982eaaa64f467d9dbda03ad4f40ea27.png"
curl: no URL specified!
curl: try 'curl --help' or 'curl --manual' for more information
=> false

用 system "curl", "-o", "a.png", "//l.ruby-china.com/photo/5982eaaa64f467d9dbda03ad4f40ea27.png" 正常

> system "curl", "-o", "a.png", "//l.ruby-china.com/photo/5982eaaa64f467d9dbda03ad4f40ea27.png"
  % Total    % Received % Xferd  Average Speed   Time    Time    Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 12458  100 12458    0     0  11821      0  0:00:01  0:00:01 --:--:--  553k
=> true