Hai, saya cukup baru dalam keamanan web dan saya khawatir tentang kemungkinan risiko injeksi shell/perintah. Saya bertanya-tanya apakah aman untuk menjalankan skrip baris perintah hanya di backend nodejs saya dan meminta web host menjalankannya.

Dari pemahaman saya, akan aman untuk dijalankan karena backend tidak dapat diakses dari situs web dan ujung depannya.

1
Tris 11 Mei 2021, 17:14

1 menjawab

Jawaban Terbaik

Dari pemahaman saya, akan aman untuk dijalankan karena backend tidak dapat diakses dari situs web dan ujung depannya.

Itu pada dasarnya benar, tetapi saya akan mengulanginya menjadi:

Aman untuk menjalankan skrip shell dari server web Anda selama parameter yang Anda berikan ke skrip shell adalah nilai hard-coded atau nilai yang dihasilkan server.

Injeksi shell terjadi ketika Anda mengambil string yang berasal dari pengguna web, dan meneruskannya sebagai parameter ke panggilan exec. Dimungkinkan untuk melakukannya dengan aman, tetapi Anda harus membersihkan atau menghindari input dengan hati-hati agar baris perintah aman, tetapi ini agak rumit dan sulit dilakukan dengan benar karena daftar "karakter berbahaya" yang Anda butuhkan untuk membersihkan/melarikan diri berbeda di bash vs zsh vs PowerShell, dll.

1
Mike Ounsworth 11 Mei 2021, 15:08