Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 13
мне кажется, что перед участками кода хорошо бы добавить «cd /etc» и «cd ~» в соответствующие места, мелочь, а приятно
А где ответ клиенту? Или он безболезненно переносит обрыв без статуся?
Спасибо, что обратили внимание.
Клиенту отдается в таком виде:
ASTRI='текст'
ASTRI=$ASTRI'еще текст'
#Вычисляем длину
ASTRIII=`echo $ASTRI | wc -c`
#Отправляем заголовок
echo «HTTP/1.0 200 OK»
echo «Server: PlanetIX FreeCash Payment Gate/1.0»
echo «Content-type: text/html»
echo «Content-length: $ASTRIII»
echo ""
#Отправляем ответ
echo $ASTRI
Клиенту отдается в таком виде:
ASTRI='текст'
ASTRI=$ASTRI'еще текст'
#Вычисляем длину
ASTRIII=`echo $ASTRI | wc -c`
#Отправляем заголовок
echo «HTTP/1.0 200 OK»
echo «Server: PlanetIX FreeCash Payment Gate/1.0»
echo «Content-type: text/html»
echo «Content-length: $ASTRIII»
echo ""
#Отправляем ответ
echo $ASTRI
tclhttpd для таких случаев предназначен
Вполне возможно. Но этот метод не требует установки дополнительных пакетов.
Я не утверждаю, что он самый лучший. Я просто говорю, что есть и такой метод. Просто часто встречаю для таких случаев вмонстяченый апач с пхп, хотя можно обойтись несколькими строками.
Я не утверждаю, что он самый лучший. Я просто говорю, что есть и такой метод. Просто часто встречаю для таких случаев вмонстяченый апач с пхп, хотя можно обойтись несколькими строками.
Насколько это устойчиво к bash-инъекциям? :)
Ровно на столько, сколько потенциальных дыр оставить в обработке запроса :)
Думаю, что тут больше вопрос в уязвимостях inetd. А дыры можно на любом ЯП написать.
Думаю, что тут больше вопрос в уязвимостях inetd. А дыры можно на любом ЯП написать.
ну с inetd то понятно. в этом смысле, кстати, xinetd более устойчив.
а вот если куда-нибудь в запросе засунуть $(...)?
а вот если куда-нибудь в запросе засунуть $(...)?
Ненене, Дэвид Блэйн ))) Скрипту не придет никаких $1, $2 и т.д. Ему придет только "/?x=1&y=2&z=3". В таком духе. Останется только разгрести это и использовать. А вот дыры могут быть уже начиная с разгребания. Тут уже от /dev/hands зависит. Можно сразу заюзать, а можно сначала «причесать», прорегэкспить, удостовериться и т.д.
То, что описал я это ровно до момента по аналогии с php:
<?
$q = $_GET['q'];
…
Вот все, что дальше — потенциальная дыра. Но она зависит от рук. Так и здесь. Я поделился только методом реализации принимания запроса и ответа.
То, что описал я это ровно до момента по аналогии с php:
<?
$q = $_GET['q'];
…
Вот все, что дальше — потенциальная дыра. Но она зависит от рук. Так и здесь. Я поделился только методом реализации принимания запроса и ответа.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Вебсервер на bash+inetd