1
如果我的目录在路径后面有:.,我可否知道安全风险?我怎样才能删除它?为什么包括。在UNIX的PATH后面危险?
A
回答
2
包括在PATH当前工作目录是危险的,因为恶意用户或程序可以填入共享目录 - 如/tmp - 定期命令的常见错别字。
这种攻击在大学校园中曾经非常流行;在/tmp中输入sl而不是ls是让您的帐户拥有相当好的方法。
一个简单的办法(如果你知道,它只会在年底)是修改~/.bash_profile或~/.profile(如适用)包含类似于行:
PATH=${PATH%:.}
相关问题
- 1. 为什么管道在Windows/unix/linux中被认为是危险的?
- 2. 为什么Thread.stop()如此危险
- 3. 什么是从取回HTML的危险
- 4. coxph.detail $危险的公式是什么?
- 5. R,fftw,并包含危险
- 6. 在SSL页面中使用SSL iframe有什么危险
- 7. 为什么reinterpret_cast的仍然是在使用时有危险
- 8. 网络爬虫遇到什么危险?
- 9. 使用svn有什么危险?
- 10. 什么时候分类不好/危险?
- 11. Ajax的危险
- 12. 潜在危险Request.Path(:)
- 13. 为什么原始数组的多态类型是危险的
- 14. 为什么使用电子邮件地址作为OpenID危险?
- 15. 使方法变为虚拟的危险是什么?
- 16. 以“。”开头的UNIX命令的潜在危险?
- 17. 潜在危险的请求
- 18. “潜在危险的Request.Form值”
- 19. 潜在的危险Request.Form - EpiServer
- 20. 为什么fpectl - 浮点异常控制如此危险?
- 21. 为什么使用find和will_paginate会有危险?
- 22. 为什么autorelease对iPhone应用程序特别危险/昂贵?
- 23. 具有至少潜在危险的错误,你做什么?
- 24. 在什么情况下可以免于CSRF的危险?
- 25. MVC潜在危险Request.QueryString值
- 26. 为什么使用包含被认为是“潜在危险请求”的冒号的URL?
- 27. 是jQuery.html()危险吗?
- 28. Unicode输入危险
- 29. 处置后调用MemoryStream.ToArray()是否危险?
- 30. 在Python函数中使用kwarg = kwarg会有什么危险吗?
顺便说一句,这很可能是http://security.stackexchange.com/或http://unix.stackexchange.com/上的更多专题;这不是一个真正的编程问题,它是StackOverflow的域。 – 2014-10-31 20:37:21
让'$ PATH'前面的'。:'更加危险。 – 2014-10-31 20:53:32