我们有一个审计只是标记我们在$PATH env变量中有相对路径.我不确定这是否真的是一个安全问题,并希望与所有人联系,看看这是否真的是一个安全问题,或者它是否只是我认为的最佳做法.有人可以提供有关使用$PATH与亲属的任何安全问题的信息吗?谢谢
解决方法
在$PATH中拥有相对路径的问题是,如果攻击者可以在文件系统中创建具有给定名称的文件,则可能会执行该文件.
示例:df或者监控说/ var已满,du说它是/ var / spool / ftp / uploads,你做什么的?
cd /var/spool/ftp/uploads ls -ltr
而且你是拥有的.你甚至没有在输出中看到ls,所以你永远不会知道.
将ftp上传替换为某个客户端网站的某个数据目录,或共享计算机的/ tmp目录或许多其他内容.
不可否认,它不会经常发生,但存在风险,并且编写./script而不是脚本很容易.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。