[Samba-it] crackcheck e caratteri particolari
Maurizio Marini
maumar at datalogica.com
Fri Nov 20 06:48:53 MST 2009
On Friday 20 November 2009, Marco Gaiarin wrote:
> Mandi! Maurizio Marini
> In chel di` si favelave...
>
> > Evidentemente la password viene passata in pipe ma non e' escaped;
>
> ...in pipe l'escaping non dovrebbe servire... sicoro che il tuo script
> non faccia lui qualche operazione con la password non 'escapata'?
>
Grazie Marco e Simo,
ma forse non mi sono espresso bene oppure continuo a non capire.
Per chiarire, ecco l'esempio:
passo tramite | la password Trust01 al mio xcrackcheck
echo -n Trust01|./xcrackcheck minlen=8 dcredit=-1 ucredit=-1 lcredit=-1
ERR password relativamente corta
poi gli passo Trus&t01
echo -n Trus&t01|./xcrackcheck minlen=8 dcredit=-1 ucredit=-1 lcredit=-1
[1] 3085
Trus-bash: t01: command not found
ERR - Failed to read password
[1]+ Done echo -n Trus
lui ha mandato in background Trus
adesso escapo l'& (scusate il pessimo italiano)
echo -n Trus\&t01|./xcrackcheck minlen=8 dcredit=-1 ucredit=-1 lcredit=-1
siccome xcrackcheck (e' un rifacimento del crackcheck disponibile in pam) lo chiamo anche da paginetta php,
mi sono accorto del problema e ho contornato $_POST['newpassword'] con i doppi apici:
[code]
syslog(LOG_WARNING, 'controlliamo se la password rispetta i vincoli imposti' );
$result = shell_exec('echo -n "' . $_POST['newpassword'] .
'" | /usr/local/sbin/xcrackcheck minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 2>&1' );
[/code]
ma per il cambio password da alt-control-canc credo che resti il problema.
Ieri mi hanno segnalato che una password contenente & non era stata cambiata
e mi si e' innescato il problema
grazie
m.
More information about the samba-it
mailing list