¿Hay algo inherentemente inseguro en la configuración de una variable de entorno personalizada para un parámetro de solicitud?

2

Imagina que tengo el siguiente extremo de rieles:

def configure_welcome_message
  ENV['myapp_welcome_message'] = params[:welcome_message]
end

Aparte del hecho de que esta es una forma insana de establecer un mensaje de bienvenida, ¿hay algo intrínsecamente inseguro acerca de la exposición de una variable de entorno personalizada a un parámetro no autorizado?

En este caso, no es una ruta a un ejecutable, ni siquiera una variable 'importante', es solo una cadena que tal vez se muestra en algún lugar. ¿Puede una persona con conocimientos aprovechar este punto final para algún tipo de acceso de shell remoto, o para seguir modificando el ENV más allá de la variable que estoy configurando explícitamente? ¿O cualquier otra implicación de seguridad?

Nota: Reconozco que puedes establecer el 'mensaje de bienvenida' en algo engañoso para los usuarios, pero estoy hablando de seguridad de back-end.

    
pregunta 20.07.2017 - 14:21
fuente

0 respuestas

Lea otras preguntas en las etiquetas