МН
нужно узнать мнение утилиты pwscore(1) о сложности пароля, передав пароль ей на stdin
или любым другим методом узнать мнение libpwquality о сложности пароля, биндингов для перла нету
Size: a a a
2021 March 22
Ii
если передать в system или open array - то все прекрасно заэкранируется
VG
нужно узнать мнение утилиты pwscore(1) о сложности пароля, передав пароль ей на stdin
а почему в пароле при этом конструкция шелла?
DF
а почему в пароле при этом конструкция шелла?
юзер подсунул вестимо
SL
или даже IPC::Open2/IPC::Open3
VG
а! шелл-инъекция из внешних данных
VG
тогда да, надо не трахаться с эскейпингом, а открывать пайп
МН
а почему в пароле при этом конструкция шелла?
Есть GUI для управления паролями пользователя, userdrake, d нем можно создавать пользователя, задавая пароль, и менять его. В целом, там весь GUI запускается по старинке от root, если пользователь смог его открыть, то в принципе сможет и иными способами от рута запустить, но да, не хочется устаривать возможность инъекции на ровном месте
МН
ок, спасибо, попробую с пайпом
YK
через FFI::Platypus биндинги довольно просто пишутся - https://pastebin.com/A2PiM4Hb
AS
через FFI::Platypus биндинги довольно просто пишутся - https://pastebin.com/A2PiM4Hb
Из примера не понял, opaque - это что за тип?
Ели либа возвращает структуру, то что в перл вернётся?
Ели либа возвращает структуру, то что в перл вернётся?
Ii
opaque = void*
Ii
pointer
Ii
если нужен доступ к полю структуры -https://metacpan.org/pod/FFI::Platypus::Record
Ii
но, в большинстве случаев, этот поинтер пробрасывается в другие бинд-функции
AS
Т.е. мне нужно всё время определять структуры в перл, так?
AS
Если структура возвращается, то я её заранее должен определить таким образом?
AS
Анонимных структур как бы нету?
Ii
если доступ к ее полям не нужен в perl-коде - то она opaque и определять ее не надо - можно просто гонять между attach-функций