Собственно сабж.
Чтобы не грузить лишним, интересует, насколько безопасен такой фрагмент в скрипте (теоретический кусочек):

Код:


Интересует возможность command injection через имя файла.
Файловая система источника NTFS, назначения - ext4
Если возможность существует, как правильно защититься? Кавычками?)

А каким образом по вашему имя копируемого файла должно восприниматься shell'ом как команда?
Он получает строку и эту строку подставляет в путь.

Если есть сомнения в этом плане, используйте условие
Можно проверить, является ли исходный/конечный путь файлом, или вообще существует ли

Bash:


Bash:

Может ли злоумышленник на файловой системе NTFS создать такое имя файла, которое позволило бы выполнить команду на бэкап-сервере?

Код:


Очень грубо) Насколько я знаю, NTFS терпимо относится к точкам с запятой в имени файла.

У тебя нет eval'a или прочего, с чего вдруг cp начнет исполнять команды как sh ?

Логично, но думал мало ли у негодяев каких фокусов в запасе - решил уточнить )

Спасибо!

вообще, на первый взгляд, тут возможна инъекция, но все зависит от конкретной реализации.
Там, где стоит символ '*' - это пользовательский ввод, который может быть любым.
Преположим, что в звездочку попадет конструкция типа test.zip ./to; id; #.
Тогда итоговая строка может быть такой:

Теоретически команда id будет выполнена после копирования. В общем ТС задает правильный вопрос.

Проводите тесты! Если время позволяет.

Я очевидные варианты пофаззил локально - ничего не вышло. Решил у сообщества уточнить.

UPD: без файла, если явно подсунуть такую конструкцию, создается /tmp/cmd.flag

Код:


Код:


Чуть позже примонтирую NTFS, еще поизвращаюсь))

Тут ты код скрипта правишь непосредственно, можно нагородить что угодно.
Я про другое.