gpt4 book ai didi

web-applications - 可以从不受信任的来源安全地执行 TeX 代码吗?

转载 作者:行者123 更新时间:2023-12-04 07:27:37 27 4
gpt4 key购买 nike

MediaWiki 允许嵌入 TeX 数学代码,该代码呈现为图像并发布到 Wiki 页面中。这安全吗?如果允许不受信任的用户输入由运行在 Web 服务器中的解释器执行的 TeX 程序,它是否会通过使用 TeX 解释器从服务器磁盘读取文件来打开服务器以致被黑客入侵?有没有办法安全地执行不受信任的 TeX 代码?

最佳答案

显然 TeX 能够通过正常操作打开和写入文件,这是一个可能的攻击向量。将执行放入 sandboxjail应该照顾那个。

一定要disable \write18 ,它允许 TeX 源文件执行操作系统命令。没有充分的理由允许这种机制。

至于 TeX 解释器本身,我想说没有什么可担心的,因为它可能是有史以来编写的任何全功能解释器中最不重要的错误数。你筹码的其他部分将是一个更大的目标。

关于web-applications - 可以从不受信任的来源安全地执行 TeX 代码吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/467214/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com