Unix 工具中潜藏的 shell 注入漏洞
2025-06-10
许多 Unix 工具使用 `system(3)` 函数执行外部命令,这会导致 shell 注入漏洞。文章深入探讨了这个问题,分析了 `system(3)`、`sh -c` 和各种工具(如 `watch`、`ssh`、`i3`)的行为,并演示了如何利用 shell 特殊字符绕过安全措施。作者建议避免使用 `system(3)`,并提供了一些缓解措施,例如使用 `exec --` 和恰当的引号转义,最终呼吁开发者修复这些工具中的安全缺陷。
阅读更多
开发
Shell 注入