Command Injection

Einige Kernmethoden von Ruby akzeptieren String-Daten, die Text enthalten, der als Systembefehl ausgeführt werden soll.

Sie sollten nicht mit unbekannten oder nicht bereinigten Befehlen aufgerufen werden.

Diese Methoden umfassen

• Kernel.exec

• Kernel.spawn

• Kernel.system

• ‚Befehl‘ (Backtick-Methode) (wird auch durch den Ausdruck %x[Befehl] aufgerufen).

• IO.popen (wenn sie anders als mit "-" aufgerufen wird).

Einige Methoden führen einen Systembefehl aus, nur wenn der angegebene Pfadname mit | beginnt

• Kernel.open(Befehl).

• IO.read(Befehl).

• IO.write(Befehl).

• IO.binread(Befehl).

• IO.binwrite(Befehl).

• IO.readlines(Befehl).

• IO.foreach(Befehl).

• URI.open(Befehl).

Beachten Sie, dass einige dieser Methoden keine Befehle ausführen, wenn sie von der Unterklasse File aufgerufen werden

• File.read(Pfad).

• File.write(Pfad).

• File.binread(Pfad).

• File.binwrite(Pfad).

• File.readlines(Pfad).

• File.foreach(Pfad).