29 Dec
2008
29 Dec
'08
12:18 p.m.
Fabian Hänsel schrieb:
PHP-Script programmiert, welches mittels eines bash-scripts aller 5 Sekunden den aktuell laufenden Song in eine Datenbank einträgt, damit die anderen HP-Betreiber per "view" darauf zugreifen können.
<murmel>Shell-Injection-Attacks sind gefährlich</murmel>
Wie ist das jetzt gemeint? Der Remote-User bekommt durch dieses "view" ausschließlich select-Rechte für dieses eine "view".
Neben den schon genannten Parametern sind Shellskripte auch sehr anfällig für Umgebungsvariablen - sie vertrauen auf so einige davon und lassen sich damit gern zu Unsinn überreden.
Wie Konrad Rosenbaum schon schrieb: "cron versteht nur Minuten"...
Asche auf mein Haupt.
Viele Grüße Fabian