現在徳丸本を読み進めているのですが、OSコマンドインジェクションについて、以下の①と②のケースの区別が付かず混乱しております。 ① whoami、powershell、 cmd などのコマンドを外部から実行できる状態 ② シェルにある複数のコマンドを起動するための構文を利用して、上記のようなコマンドを複数実行出来る状態 ①はあくまでWindowsコマンドやシェルスクリプトのペイロード自体を指すものであり、OSコマンドインジェクションの脆弱性は②の状態という認識で合っていますか? これは鋭い疑問だと思います。②という認識であっていますが、もう少し補足したいと思います。 狭義のOSコマンドインジェクション(CWE-78)は、ご指摘の②のとおり、複数コマンドを起動するための構文(/bin/sh のセミコロン等)を使って複数のコマンドを実行するものです。しかし、広義ではコード実行可能な脆弱性全体を
シェルスクリプトの定番設定 - 日々精進
以下のようなやつ。 #!/bin/bash set -euxo pipefail これの意味を以下で知りました。なるほど。。というか設定された状態をデフォルトにして欲しいレベルだなぁ。 please-sleep.cou929.nu moneyforward.com
Google Shell Style Guide から学ぶ保守性の高いシェルスクリプトの書き方|NAVITIME_Tech
こんにちは、くるふとです。 ナビタイムジャパンで、経路探索エンジンや時刻表データのリリースフロー改善を主に担当しています。 今回は Google が提供する Shell Style Guide について紹介します。 Shell Style Guide とはShell Style Guide とは、 Google が提供する shell スクリプトについてのスタイルガイドです。 スタイルガイドとは、「開発者間で一貫性のあるコードが書けるよう定められた規約」になります。 Shell Style Guide は shell スクリプトのコーディング時に推奨されるルールや Tips がまとめられているスタイルガイドにあたります。 なぜスタイルガイドが必要なのかShell Style Guide の紹介をする前に、そもそもなぜスタイルガイドが必要なのかを説明します。 スタイルガイドの狙いは、開発者間
シェルスクリプトにおける export コマンドの解説
シェルスクリプトにおける export コマンドの解説 概要 シェルスクリプトにおける export コマンドは、シェル変数を環境変数に変換し、それらを子プロセスに渡すために使用されます。これにより、スクリプトやコマンドが起動する各プロセスで、特定の変数を利用できるようになります。 基本的な使い方 export コマンドは次のように使用します:
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
現在徳丸本を読み進めているのですが、OSコマンドインジェクションについて、以下の①と②のケースの区別が付かず混乱しております。 ① whoami、powershell、 cmd などのコマンドを外部から実行できる状態 ② シェルにある複数のコマンドを起動するための構文を利用して、上記のようなコマンドを複数実行出来る状態 ①はあくまでWindowsコマンドやシェルスクリプトのペイロード自体を指すものであり、OSコマンドインジェクションの脆弱性は②の状態という認識で合っていますか? | mond