清理 irc 的输入

发布于 2024-09-11 06:35:54 字数 423 浏览 9 评论 0原文

所以我正在考虑编写一个 irc 机器人/机器人扩展，让用户通过启动游戏来玩某些基于文本的游戏，

发送他们输入的某些行的部分（如果不在机器人通道中，则与游戏信号匹配的正则表达式。rbot 游戏名进入森林发送“进入森林”到游戏中的标准，

而游戏外的标准由机器人缓存并通过管道传送到通道（例如。 “让我们为鸭子被打败了” 读入机器人内部的行缓存，然后机器人将其作为

游戏名称发送到适当的通道：让我们为

游戏名称感到高兴：鸭子被打败了” ）

但我有点担心 irc 上的人可能会做的棘手事情，剥离所有不可打印的字符是否足够安全？如果程序退出（假设他们输入游戏的退出命令），当您尝试写入该程序的文件描述符 std in（错误）时会发生什么？还有其他潜在的问题吗？注意我将在 linux 或 *bsd 上运行它，所以我不需要担心 Windows 特定的事情。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

许你一世情深 2024-09-18 06:35:54

您可能需要考虑的一些基础知识：

允许您知道安全的文本通过比尝试过滤掉您认为可能不安全的文本要安全得多。游戏可能只接受字母数字字符，因此请检查输入是否仅包含这些值，并拒绝其他任何值。
在具有尽可能最低权限的帐户下运行机器人，并尽可能限制对计算机其余部分的访问。如果您可以将其完全沙箱化或虚拟化，那就更好了。
您应该监视子进程的 PID 是否终止，并决定在它退出时该怎么办、重新启动它或执行其他命令失败、退出机器人等。

每当向网络公开服务时，都可能存在许多安全问题，您最好阅读有关一般安全编程主题的内容，快速谷歌搜索就会出现此操作方法< /a> 例如。

偏执是值得的。如果不遵循正确的安全编程实践，您最多只能希望没有人诚实地尝试破坏它。

回复收藏 0 原文

灼疼热情 2024-09-18 06:35:54

转义引号和管道可以让你免受大多数东西的影响

" ' |

escaping quotes and pipe will keep you safe from most stuff

" ' |

回复收藏 0 原文

永不分离 2024-09-18 06:35:54

用户输入来自何处并不重要，重要的是如何使用它。

影响 IRC 的一种攻击是CRLF 注入 。如果您通过 IRC 回显用户输入，则会出现此情况。攻击者可以尝试注入回车符 (\r) 换行符 (\n)。这种类型的注入会影响许多协议，包括 HTTP 和 SMTP。对于 IRC，攻击者将能够强制您的机器人向 IRCD 发送命令（例如 /join 或 /kick 或 /ban :)。确保查看 ASCII 表并过滤掉所有 0x0A (\n) 和 0x0D (\r) 。在大多数情况下，新行就足够了，因此请确保对两者进行过滤。

请务必阅读OWASP A1：注入。特别是当您在 SQL 查询中使用用户输入或在命令行上调用进程时。