BashBot

BashBot layihə Dave Crouse ilə bbots bir çəngəl edir. Bu Bash yazılmış bir IRC bot edir. Ntcpclient yazılı və rəsmi bbots azad arasında gün, mən bir neçə gün onunla oynayan edilmişdir (I bash ilə nə ola bilər görmek üçün mənə bir bəhanə verdi.
Mən potensial təhlükəsizlik deşik aşkar çünki Mən, həqiqətən, istifadə tövsiyə deyil (yəni CROUSE nin müqayisə etmək istəyirəm) Bu daha çox halda hər kəs maraqlı deyil.
Problem: Əgər belə * və ya kimi bir nəzarət xarakter daşıyır dəyişən, genişləndirmək bot almaq `Bu shell ilə geniş olur, çünki o, problemlər yarada bilər. Siz səbəbdən "kimsə foo demək *" və göndərmək olardı bilər
PRIVMSG kimsə: foo
Hansı açıq-aydın bir təhlükə var. Mən `rm -rf /` ya bir şey ilə oynamağa başladı əgər, olduqca pis olacağını təsəvvür olardı.
Bu mən modulları keçən zaman xətti genişləndirmək olan tərəfindən təqdim bir şey görünür. Bu səbəbdən mənə kodu bir çox aradan qaldırılması üçün imkan verir, cəhd və özləri modulları string tokenisation etmək olan qarşısını almaq üçün idi.