Projekt BashBot jest rozwidlenie bbots Dave'a Crouse. Jest to bot IRC napisany w bashu. W dniach między piśmie, że ntcpclient i oficjalnego wydania bbots, grałem z nim na kilka dni (dał mi pretekst, aby zobaczyć, co można zrobić z bash.
To jest więcej tutaj na wypadek gdyby ktoś jest ciekawy (tj chcesz porównać go do Crouse na) nie będę naprawdę polecam go używać, bo odkrył potencjalne luki w zabezpieczeniach.
Problem: Jeśli masz bota rozszerzyć zmienną, która ma charakter kontrolny w nim, takich jak * lub `może powodować problemy, ponieważ jest ona rozszerzona przez powłokę. Można więc zrobić "! Powiedzieć ktoś foo *" i to przesłanie
PRIVMSG ktoś: foo
Co jest oczywiście zagrożenie. Mogę sobie wyobrazić, że byłoby bardzo źle, jeśli zaczął grać z `rm -rf /`, czy coś.
Wydaje się to być coś, co wprowadzony przez to poszerzyć o linię przy przejściu do modułów. To była próba uniknięcia konieczności zrobić tokenisation ciąg w modułach siebie, stąd pozwala mi usunąć dużo kodu.
Komentarze nie znaleziono