接受来自 write 命令的消息的安全风险

【问题标题】:Security risks of accepting messages from write command接受来自 write 命令的消息的安全风险
【发布时间】:2020-11-03 10:12:29
【问题描述】:

在 UNIX 系统上,您可以使用write 命令只要接收方的用户接受消息,将任何消息写入另一个终端。是否接受消息由mesg {y|n} 命令设置。

根据man mesg

传统上,默认情况下允许写访问。然而,随着用户越来越意识到 各种安全风险,有一种趋势是默认删除写访问,至少对于 主登录 shell。

但是mesg y会带来什么样的安全风险呢?

【问题讨论】:

  • 更适合Super UserUnix & Linux
  • 在某些终端上,可以发送使终端发送输入的转义序列。因此有人可以向您发送一条消息,模拟您输入命令。
  • @Barmar,你有这种终端的例子吗?

标签: linux security unix write


【解决方案1】:

我个人认为这与编程有很大关系,事实上程序员必须非常小心转义序列。数据和代码之间的界限有时会弯曲,有时会被打破。

你可以在这里找到更多酷信息。

https://marc.info/?l=bugtraq&m=104612710031920

https://turbochaos.blogspot.com/2014/08/journalctl-terminal-escape-injection.html

https://www.openwall.com/lists/oss-security/2015/08/11/8

https://www.openwall.com/lists/oss-security/2015/09/17/5

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2011-05-19
    • 2016-07-02
    • 1970-01-01
    • 2019-09-20
    • 2013-02-24
    • 2012-01-09
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode