[General] Ayuda con un ataque!!!

Roberto Bonvallet rbonvall+linux en gmail.com
Dom Mar 30 22:12:14 CLT 2008


El 30/03/08, Cristian Gutierrez <crgutier en dcc.uchile.cl> escribió:
> Por el contrario, en programas escritos en lenguages de scripting no es
>  para nada raro que la configuracion sea un trozo de codigo (arbitrario
>  pero con una estructura sugerida) que se incluye en tiempo de ejecucion
>  (i.e., se _ejecuta_).  De los que recuerdo ahora: Twiki, Mediawiki,
>  Django, Buildbot, y sospecho que un abismante etcetera.

Dentro del abismante etcétera, es interesante el caso de los DSLs en
Ruby, que parecen archivos de configuración pero son programas
sintácticamente válidos.  Por ejemplo, los Rakefiles
(http://tinyurl.com/bm9sc).

Otro caso similar podría ser un programa que tenga sus configuraciones
en JSON, y que lo interprete usando eval();  ahí se podría inyectar
código arbitrario.  No conozco ejemplos reales de este caso.

Saludos,
-- 
Roberto Bonvallet



Más información sobre la lista de distribución Linux