gpt4 book ai didi

security - 防止提取有害的 gzip 文件

转载 作者:行者123 更新时间:2023-12-04 06:34:21 25 4
gpt4 key购买 nike

用户为其文件备份的目录位于他们可以访问和上传到的目录中。

如果他们获得正确的命名方案并故意导致错误,使系统尝试恢复最近 5 个左右的备份,他们可能会使用绝对路径 gzip 文件(例如 ../../../../../etc/passwd)将他们想要的文件放到服务器上。或者无论如何。

我可以执行哪些检查来防止这种情况在 BASH 中以编程方式发生

以下命令是由 root 运行的(它由 root 运行,因为我使用 webmin):
tar zxf /home/$USER/site/backups/$BACKUP_FILE -C /home/$USER/site/data/
哪里$BACKUP_FILE将是它试图恢复的备份的名称

编辑1:

这是我到目前为止想到的。我相信这种方式可以改进很多:

CONTENTS=$(tar -ztvf /home/$USER/site/backups/$BACKUP_FILE | cut -c49-200)
for FILE in $CONTENTS; do
if [[ $FILE =~ \.\. ]] || [[ $FILE =~ ^\/ ]]; then
echo "Illegal characters in contents"
exit 1
fi
done

tar zxf /home/$USER/site/backups/$BACKUP_FILE -C /home/$USER/site/data/
exit 0

我想知道是否禁止以 / 开头并且不允许 ..就够了吗?对于 tar -ztvf 的输出,字符 50+ 也是正常的?

最佳答案

我假设备份是由您的脚本生成的,而不是由用户生成的。 (提取任意用户创建的 tar 文件从来都不是一个好主意)。

如果您的备份必须存储在用户可写的目录中,我建议您对每个备份文件进行数字签名,以便验证其完整性。然后,您可以在使用 tar 文件进行恢复之前验证它是否合法。

使用 GPG 的示例:

gpg --armor --detach-sign backup_username_110217.tar.gz

这将创建一个签名文件 backup_username_110217.tar.gz.asc可用于使用以下方法验证文件:
gpg --verify backup_username_110217.tar.gz.asc backup_username_110217.tar.gz

请注意,要在脚本中运行它,您需要创建没有密码短语的 key 。否则,您必须将密码作为纯文本存储在脚本中,这是一个可怕的想法。

关于security - 防止提取有害的 gzip 文件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5025211/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com