如何解决防止从busybox http守护程序向sh中注入代码
我有以下情况:
busybox的httpd(https://openwrt.org/docs/guide-user/services/webserver/http.httpd)已安装在我的嵌入式Linux系统上,并且从子文件夹/ cgi-bin /调用脚本。
我调用脚本并提供GET参数,这些参数被转发到实际命令(在脚本中调用)(例如,从“ ...?param1 = hallo&param2 = text”到“ -param1 hallo -param2 text”)。
我要防止的是某人可以扩展我的get队列以注入其他命令;像这样的东西:
"http://192.168.1.1/cgi-bin/myScript?param=1%2%26%26%2cat%20%2Fetc%2Fpasswd"
将哪个URL解码为命令行
param = 1 && cat / etc / passwd
(我的意思是说,它将创建一个命令行“ myApp -parameter 1 && cat / etc / passwd”,因此我注入了与第一个命令无关的第二个命令,例如可以在以下位置输出用户列表我的系统)
当然,以上语法是错误的,我想知道攻击者将如何编写/如果这通常是攻击情形/为防止此类请求而必须过滤的内容。是&&和;足够过滤吗?
我不确定我应该搜索什么,因此任何提示都非常受欢迎。
谢谢大家
解决方法
您要做的事情在编程世界中通常被称为字符串化。这是当您获取一个对象并将该对象转换为字符串时。
在这种情况下,您想要做的是将数据放入变量中,并确保从不受控制的来源注入的任何潜在恶意代码作为数据在它之前转换为字符串(或执行其他诸如报告之类的事情)可能会被意外执行。
您的示例没有指定您的 CGI 脚本是用什么语言编写的,例如 perl
、ruby
、shell
或其他语言。根据您对 && cat /etc/passwd
作为恶意活动示例的担忧,您似乎想防止 shell 代码注入,这是一种任意代码执行 . shell
语言中有许多特殊字符符号可能会导致意外的任意代码执行,因此我会过滤掉参数中非数字的任何内容。
这可以通过一个简单的 egrep
命令和一个 or 子句 (||
) 轻松完成,如下所示:
param1=$(echo $param1 |egrep '^[0-9]$') || param1=""
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。