23,223
社区成员
发帖
与我相关
我的任务
分享为什么调用system是一个安全性漏洞??
在unix环境高级编程里面有句话说:
如果在一个设置-用户-id程序中调用 system,那么发生什么呢?这是一个安全性方面的漏洞。
为什么呢??
如果在一个设置-用户-id程序中调用 system,那么发生什么呢?这是一个安全性方面的漏洞。
为什么呢??
...全文
请发表友善的回复…
发表回复
oyster2008 2010-10-10
- 打赏
- 举报
按照安全方式使用setuid不存在问题,不是漏洞,所以也不存在修复这么一个说法,而且APUE中关于不要setuid程序中调用system这个在现在还是正确的,错误的或以可能导致错误的方式使用一个特性才叫漏洞
小魔菇 2010-10-09
- 打赏
- 举报
[Quote=引用 3 楼 oyster2008 的回复:]
setuid这是一个特性,并不是一个漏洞
引用 2 楼 eclipse_2 的回复:
恩 setuid能暂时提高进程的权限
在非root用户下可以通过它修改用户的密码 这个是root权限才能做的事情
所以很邪恶
不过貌似现在这个漏洞被修复了吧 APUE里面的东东也是十几年的了
[/Quote]
是特性也是漏洞
setuid这是一个特性,并不是一个漏洞
引用 2 楼 eclipse_2 的回复:
恩 setuid能暂时提高进程的权限
在非root用户下可以通过它修改用户的密码 这个是root权限才能做的事情
所以很邪恶
不过貌似现在这个漏洞被修复了吧 APUE里面的东东也是十几年的了
[/Quote]
是特性也是漏洞
oyster2008 2010-10-09
- 打赏
- 举报
setuid这是一个特性,并不是一个漏洞
[Quote=引用 2 楼 eclipse_2 的回复:]
恩 setuid能暂时提高进程的权限
在非root用户下可以通过它修改用户的密码 这个是root权限才能做的事情
所以很邪恶
不过貌似现在这个漏洞被修复了吧 APUE里面的东东也是十几年的了
[/Quote]
[Quote=引用 2 楼 eclipse_2 的回复:]
恩 setuid能暂时提高进程的权限
在非root用户下可以通过它修改用户的密码 这个是root权限才能做的事情
所以很邪恶
不过貌似现在这个漏洞被修复了吧 APUE里面的东东也是十几年的了
[/Quote]
小魔菇 2010-10-09
- 打赏
- 举报
恩 setuid能暂时提高进程的权限
在非root用户下可以通过它修改用户的密码 这个是root权限才能做的事情
所以很邪恶
不过貌似现在这个漏洞被修复了吧 APUE里面的东东也是十几年的了
在非root用户下可以通过它修改用户的密码 这个是root权限才能做的事情
所以很邪恶
不过貌似现在这个漏洞被修复了吧 APUE里面的东东也是十几年的了
justkk 2010-10-09
- 打赏
- 举报
设置-用户-ID的程序通常都是提高了用户的权限
如果通过system()调用一个恶意的程序,那就是一个漏洞了..
如果通过system()调用一个恶意的程序,那就是一个漏洞了..
