[General] Ayuda con un ataque!!!

[Roberto Bonvallet]

El 30/03/08, Cristian Gutierrez <crgutier en dcc.uchile.cl> escribió:
> Por el contrario, en programas escritos en lenguages de scripting no es
>  para nada raro que la configuracion sea un trozo de codigo (arbitrario
>  pero con una estructura sugerida) que se incluye en tiempo de ejecucion
>  (i.e., se _ejecuta_).  De los que recuerdo ahora: Twiki, Mediawiki,
>  Django, Buildbot, y sospecho que un abismante etcetera.

Dentro del abismante etcétera, es interesante el caso de los DSLs en
Ruby, que parecen archivos de configuración pero son programas
sintácticamente válidos.  Por ejemplo, los Rakefiles
(http://tinyurl.com/bm9sc).

Otro caso similar podría ser un programa que tenga sus configuraciones
en JSON, y que lo interprete usando eval();  ahí se podría inyectar
código arbitrario.  No conozco ejemplos reales de este caso.

Saludos,
-- 
Roberto Bonvallet