Re: dyndns-_Server_ fuer Debian
On 01.02.2010 15:18, Marc Haber wrote:
> On Sat, 30 Jan 2010 18:21:24 +0100, Stefan Bauer
> <stefan.bauer@cubewerk.de> wrote:
>> On 30.01.2010 15:06, Florian Weimer wrote:
>>> * Stefan Bauer:
>>>
>>>> if ($ENV{QUERY_STRING} =~ /hostname=(.*?)&myip=(.*)/) {
>>>> system('/usr/bin/nsupdate update add $1 600 IN A $2');
>>> Das ermöglicht das Ausführen von Shell-Befehlen, sobald ' durch "
>>> ersetzt wird (um es zum Funktionieren zu brigen). Du solltest den
>>> Hostnamen filtern, die Mehr-Argument-Variante von system verwenden und
>>> noch an geeigneter Stelle ein "--" in die Argumentliste schreiben.
>> Guter Einwand aber jene Personen, welche das Kennwort kennen, haben
>> bereits einen gewissen Vertrauenslevel.
>
> Gefährlicher Unfug! Der Code wird irgendwann auch für nicht
> vertrauenswürdige Leute verwendet werden, und es "richtig" zu machen
> wie von Florian beschrieben dauert vielleicht fünf Minuten.
Ich bin ja ein ganz großer Freund von Beiträgen, die anderen
Vorpostern nur zustimmen.
Wie würde hier ein konkreter Angriff aussehen? Wenn ich Florian
richtig verstanden habe, tut sich das Problem auf, wenn ich im
Aufruf ' durch " ersetze - warum sollte ich das tun?
Stefan
--
Stefan Bauer -----------------------------------------
PGP: E80A 50D5 2D46 341C A887 F05D 5C81 5858 DCEF 8C34
-------- plzk.de - Linux - because it works ----------
Reply to: