È wget'ing un singolo file HTML praticamente privo di rischi?

3

Sul web ci sono molte cose potenzialmente dannose. In effetti, ci sono così tante cose che possono accadere che navigare in una località di cui non sai nulla può essere pericoloso, come http://www.example.com/nasty.html

Potrebbero esserci script nella pagina e mille altre cose. In sostanza, potrei aver dimenticato di bloccare tutto.

Mi chiedo, è essenzialmente privo di rischi invece di usare wget dal mio terminale, come questo:

wget "http://www.example.com/nasty.html"

E dopo quell'apertura del file in un editor di testo? La mia comprensione è che nulla ha quindi la possibilità di caricare, ma la mia conoscenza qui è sfocata. Forse il server può ingannare la mia richiesta di wget? O forse l'apertura del file in un editor di testo non è una cosa sicura da fare? Non lo so, quindi quindi sto chiedendo.

    
posta Hohmannfan 24.07.2016 - 15:32
fonte

2 risposte

3

Sei sostanzialmente corretto con un paio di bit di complessità.

In primo luogo, è comunque possibile che sia wget sia l'editor di testo abbiano una vulnerabilità che la pagina potrebbe essere progettata per provare e sfruttare. Questo è improbabile, e l'autore del malware dovrebbe prevedere che useresti questo processo e pianterebbe un'imboscata. Improbabile, ma significa che il tuo processo non è al 100% infallibile. Solo qualcosa da tenere a mente.

In secondo luogo, è possibile che il server web identifichi che stai usando wget e ti offre una versione non sgradevole del file. Questo è abbastanza facile, con esempi là fuori, ispezionando lo user-agent. Di nuovo, questo non è qualcosa a cui gli attori malintenzionati pensano, ma significa anche che non puoi usare wget e assumere che il file che analizzi sarà il file che ricevi nel tuo browser.

Sì, ci sono modi per modificare l'user-agent di wget per ridurre questa possibilità, ma è ancora qualcosa su cui riflettere.

Quindi, sì, sei sostanzialmente corretto, ma non è un proiettile d'argento per proteggere te stesso, e alcuni rischi rimangono.

    
risposta data 24.07.2016 - 15:40
fonte
0

Posso pensare a tre avvertimenti.

1) Assicurati che i file caricati non finiscano da qualche parte dove possono essere eseguiti. (ad es. la cartella del server web) Altrimenti gli script (ad esempio php) possono essere caricati e richiamati / eseguiti attraverso il server web.

2) Continuando su questa linea di pensiero, penso che il server web possa dettare il nome del file se non impostato esplicitamente da wget. Così permettendo al sorgente di dare al file un'estensione come .php

3) Potresti essere alimentato con un file così grande che potresti esaurire le risorse (spazio su disco, piano dati), causando il down del server.

    
risposta data 25.07.2016 - 09:15
fonte

Leggi altre domande sui tag