慎重system函数的使用

今天听同事汇报工作时候,说道堡垒机存在命令行漏洞,说在ping命令之后输入些别的可以执行其它命令。。。于是瞬间想到这个问题,比如如下代码:

char cmdLine[256] = "ping 8.8.8.8 & shutdown -s";
system(cmdLine);
return 0;


我们可以在ping完成之后执行shutdown -s,这就给了黑客可趁之机作攻击。

 

比如如果把system换为WinExec函数,就不会出现这个情况,所以在输入命令提供接口的时候,还真心得为其形式把好关啊!

posted on 2013-09-16 11:55  堕落华为人  阅读(370)  评论(0编辑  收藏  举报

导航