¿Existe una forma (relativamente) segura de ejecutar comandos CLI desde la web?

Question 1

Creo que el riesgo real es cuando mezclas información del usuario en una de estas exec(). Aquí es donde entraría la mayor parte del riesgo, ya que está permitiendo que los usuarios le proporcionen información que, cuando se mezcla con la CLI, puede hacer cosas peligrosas, como insertar punto y coma ( ;) en un cuadro de texto y ejecutar comandos adicionales después de ellos. He proporcionado argumentos.

Entonces, en general, ejecutar comandos en modo de solo lectura no debería ser más peligroso que hacer otra cosa.

Es básicamente el mismo problema que con un ataque de inyección SQL, con el que quizás estés más familiarizado.

Answer

Creo que el riesgo real es cuando mezclas información del usuario en una de estas exec(). Aquí es donde entraría la mayor parte del riesgo, ya que está permitiendo que los usuarios le proporcionen información que, cuando se mezcla con la CLI, puede hacer cosas peligrosas, como insertar punto y coma ( ;) en un cuadro de texto y ejecutar comandos adicionales después de ellos. He proporcionado argumentos.

Entonces, en general, ejecutar comandos en modo de solo lectura no debería ser más peligroso que hacer otra cosa.

Es básicamente el mismo problema que con un ataque de inyección SQL, con el que quizás estés más familiarizado.

Question 2

Hasta donde yo sé (y realmente no soy programador, así que tómalo con una pizca de sal), exec()las llamadas no son nada malas. Es solo que bifurcan un nuevo proceso y tienen una gran sobrecarga ya que estás llamando a una función del sistema. Generalmente, la gente sugiere que hagas cosas internamente en cualquier programa/script que estés escribiendo y evites llamadas externas como exec().

Sin embargo, si su objetivo es ejecutar comandos en el sistema, no hay forma de hacerlo sin dicha llamada. Por supuesto, existen riesgos de seguridad, permitir que usuarios aleatorios ejecuten comandos arbitrarios en su servidor genera problemas. Sin embargo, si el acceso a este servidor está severamente restringido, debería poder hacerlo de forma segura.

De todos modos, la conclusión principal es que exec()las funciones no son intrínsecamente malas, simplemente tienden a ser menos eficientes que hacer algo internamente.

Answer

Hasta donde yo sé (y realmente no soy programador, así que tómalo con una pizca de sal), exec()las llamadas no son nada malas. Es solo que bifurcan un nuevo proceso y tienen una gran sobrecarga ya que estás llamando a una función del sistema. Generalmente, la gente sugiere que hagas cosas internamente en cualquier programa/script que estés escribiendo y evites llamadas externas como exec().

Sin embargo, si su objetivo es ejecutar comandos en el sistema, no hay forma de hacerlo sin dicha llamada. Por supuesto, existen riesgos de seguridad, permitir que usuarios aleatorios ejecuten comandos arbitrarios en su servidor genera problemas. Sin embargo, si el acceso a este servidor está severamente restringido, debería poder hacerlo de forma segura.

De todos modos, la conclusión principal es que exec()las funciones no son intrínsecamente malas, simplemente tienden a ser menos eficientes que hacer algo internamente.

¿Existe una forma (relativamente) segura de ejecutar comandos CLI desde la web?

Respuesta1

Respuesta2

información relacionada