Внедрение команды ruby exec (защита!)

Question

Внедрение команды ruby exec (защита!)

Я запускаю самоцвет тормозного механизма над проектом... он жалуется на некоторые выполняемые команды exec.

Текущий код:

Process.fork {exec "pdftk #{uncrypted_pdf_file} output #{pdf_file} owner_pw #{password} allow printing"}

Тормоз жалуется, предполагая, что есть возможность для командного впрыска. Я пробовал несколько разных комбинаций вызова exec, например:

Process.fork {exec "pdftk", uncrypted_pdf_file, " output #{pdf_file} ", "owner_pw #{password}", "allow printing"}

Но, как и следовало ожидать, каждый аргумент просто передается pdftk по очереди, и поэтому он падает.

Есть ли способ вызвать команду за один выстрел, а также защитить от инъекции команды. В нашем конкретном случае это достаточно безопасно, так как мы контролируем все переменные, но было бы хорошо узнать правильный путь.

0

ruby security exec brakeman

Источник

user435817 31 июл '14 в 02:53

1 ответ

Решение

Другие вопросы по тегам ruby security exec brakeman

user53114 31 июл '14 в 05:19 2014-07-31 05:19 · Accepted Answer · 2014-07-31 05:19

Вам нужно передать каждый аргумент отдельно:

exec "pdftk", uncrypted_pdf_file, "output", pdf_file, "owner_pw", password, "allow", "printing"

Возможно, вам придется указать полный путь к pdftk также.

2

Источник

user53114 31 июл '14 в 05:19

Внедрение команды ruby ​​exec (защита!)

1 ответ

Внедрение команды ruby exec (защита!)