asterisk.ru

Русский форум Asterisk сообщества
https://forum.asterisk.ru/

Для индексации полезных и бесполезных разговоров

https://forum.asterisk.ru/viewtopic.php?t=26297

Страница 1492 из 1524

Cообщение от   Telegram-канал spiridonov_dv

Добавлено: 20 авг 2025, 00:58
notify_ded_bot
да, тут по-другому никак

ок, а параметры ты как для него передавать будешь. Всё что введено в веб консоли пропустить через твой судо скрипт и передать в sngrep?

Cообщение от   Telegram-канал fish9370

Добавлено: 20 авг 2025, 00:59
notify_ded_bot

но эти параметры попадают на вход команды. Но твоя забота, чтобы убедиться, что юзер не сделает какой-то пайп

Cообщение от   Telegram-канал fish9370

Добавлено: 20 авг 2025, 01:01
notify_ded_bot

я потому и выпилил команду (!) из консоли астера, чтобы ее можно было передавать в веб, и юзер не натворил дел

Cообщение от   Telegram-канал spiridonov_dv

Добавлено: 20 авг 2025, 01:01
notify_ded_bot

Пайп можно отследить, аргументы можно экранировать, но ты ничего не сделаешь с возможностями команд по записи в файл.
Например tcpdump и наверняка sngrep могут писать в файл. И это легитимный аргумент.
Многие команды могут подключать плагины и это выполнение кода.
Так с каждой командой исследовать, что в её аргументах надо фильтровать что бы было безопасно, тут прям замучаешься.

Cообщение от   Telegram-канал fish9370

Добавлено: 20 авг 2025, 01:01
notify_ded_bot

правда, в последних версиях, они и сами это поняли, добавили настроек, чтобы эта штука стала безопасной

Cообщение от   Telegram-канал fish9370

Добавлено: 20 авг 2025, 01:02
notify_ded_bot
Пайп можно отследить, аргументы можно экранировать, но ты ничего не сделаешь с возможностями команд по записи в файл.
Например tcpdump и наверняка sngrep могут писать в файл. И это легитимный аргумент.
Многие команды могут подключать плагины и это выполнение кода.
Так с каждой командой исследовать, что в её аргументах надо фильтровать что бы было безопасно, тут прям замучаешься.

ну их не больше десятка, с этим можно справиться

Cообщение от   Telegram-канал spiridonov_dv

Добавлено: 20 авг 2025, 01:02
notify_ded_bot
Пайп можно отследить, аргументы можно экранировать, но ты ничего не сделаешь с возможностями команд по записи в файл.
Например tcpdump и наверняка sngrep могут писать в файл. И это легитимный аргумент.
Многие команды могут подключать плагины и это выполнение кода.
Так с каждой командой исследовать, что в её аргументах надо фильтровать что бы было безопасно, тут прям замучаешься.

Как альтернатива разрешать на вход только аргументы из белого списка, но это большое ограничение

Cообщение от   Telegram-канал fish9370

Добавлено: 20 авг 2025, 01:03
notify_ded_bot
Как альтернатива разрешать на вход только аргументы из белого списка, но это большое ограничение

я примерно так и делаю

Cообщение от   Telegram-канал fish9370

Добавлено: 20 авг 2025, 01:03
notify_ded_bot

юзер не может ввести все что ему вздумается

Cообщение от   Telegram-канал spiridonov_dv

Добавлено: 20 авг 2025, 01:03
notify_ded_bot
ну их не больше десятка, с этим можно справиться

=) Думаешь. Никогда нельяз быть уверенным что в след версии название аргумента не поменяют или не добавят новый
Часовой пояс: UTC+03:00
Страница 1492 из 1524

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB