sábado, 22 de diciembre de 2018

Ejecutar scripts de GNU/Linux mediante NodeJS

NodeJS es muy usado en aplicaciones webs, eso es algo que los que nos dedicamos a esto sabemos, y más aún los programadores. Yo siempre tiemblo un poco cuando veo un nodejs. El código JavaScript no garantiza la privacidad del usuarios, hay muchas formas de utilizar JavaScript para obtener información del cliente. No vale decir que, al ser un lenguaje de programación, la culpa es de quién lo utilice y no del lenguaje. JavaScript está hecho para saber por dónde pasa el ratón el usuario, sacar el user-agent o para descargarle un archivo para ponerlo a minar Bitcoins. Es por esta razón que en Firefox tenemos extensiones para deshabilitar el código JavaScript de las páginas por las que navegamos.


No, JavaScript no es como el ejemplo del cuchillo, que es bueno dependiendo de para qué lo utilices. JavaScript es más bien como una pistola. Ojo, que con todo esto, puedes utilizar JavaScript para cosas chulas como hacer más dinámica una web, al igual que si a una pistola le metes pintura en lugar de balas, pero lo normal no es eso.

Tras esta matanza a JavaScript, vamos con lo que es el post en sí. Supongo que lo que traigo hoy aquí lo sabéis ya todos, pero no es para enseñar algo nuevo (a lo mejor alguien no lo sabía y le sirve, ojo), es más bien para advertir de posibles peligros que ya a día de hoy estamos viendo.


Para ilustrar esto, he hecho dos scripts. Uno en JavaScript y otro en ShellScript. El de arriba es javascript que, lo que hace, es llamar a y ejecutar un script que he llamado test.sh. Abajo veis que, para el ejemplo, tan sólo he hecho un conteo de los archivos que hay en el directorio actual. No es muy peligroso, aunque si fuese un ls sin más sí que podría ser más peligroso. Pero no tienen por qué ejecutarse siempre scripts tan inofensivos.


Al ejecutar el javascript con nodejs, lo que se hace es leerse en el javascript que se llama a la ejecución de test.sh, se ejecuta y da el output.

Este es un simple ejemplo, pero en los próximos días publicaré un post en el que he estado trabajando sobre este tema y veréis que puede ser más problemático de lo que parece, además de que servirá como una prueba de que se puede hacer y la cantidad de datos que se pueden obtener.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...