Ciao a todos,
stavo facendo un interfaccia web per nslookup con perl, usando il comando nslookup tramite la direttiva use Shell qw(nslookup)...
Questo non dovrebbe significare che all'interno dello script posso solamente usare il comando di shell nslookup, e non altri?
Perche' purtoppo si riesce ad inserire altri comandi diversi da nslookup quando viene passato il parametro dall' url...
per intenderci quando vado ad inserire il valore del nslookup dentro ad una variabile
$var=nslookup($query_string);
e' facilmente inseribile un qualsiasi comando dell'utente www-data. Diciamo che e' abbastanza fastidioso... ;-)
Qualche idea su come evitare l'injection, senza ricorrere alla manipolazione di stringa dell'url?
Grazie