科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Telnet环境变量(3)

Telnet环境变量(3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

因为不可能预计到所有用户想要交换的变量,提供了USERVAR类型来支持用户传输任意的变量/数值对。已经检测到某个环境变量的数值,或者如果它不能理解某个变量名称,它将忽略在ENVIRON选项中发送的数值。

作者:论坛整理 来源:ZDNet网络安全 2007年12月19日

关键字: telnet命令 opentelnet linux telnet telnet入侵 telnet telnet端口

  • 评论
  • 分享微博
  • 分享邮件

  接收主机不需要把它从环境中接收到的所有的变量都上传。例如,如果客户机将要通过发送USERVAR“TERM”VALUE“xterm”这个环境变量来发送时,TERMINAL-TYPE[1]选项已经用于确定终端类型,服务器就可以忽略TERM变量。同样,一些启动信息也可以用于其他方面;例如,“USER”、“ACCT”和“PROJ”变量的数值可以用来判断哪一个帐户已经登录,而且可能从未被上传给用户环境。通常,如果服务器通过一些更精确的方法已经检测到某个环境变量的数值,或者如果它不能理解某个变量名称,它将忽略在ENVIRON选项中发送的数值。服务器可能也更喜欢仅仅把所有未知信息上传到用户的环境中。这是应用中建议的方法,因为它使用户使用起来更加灵活。

  以下是一个这个选项的使用范例:

  Host1Host2

  IACDOENVIRON

  IACWILLENVIRON

  [现在主机1可以自由的请求环境变量了]

  IACSBENVIRONSENDVAR"USER"

  VAR"ACCT"VARUSERVARIACSE

  [现在,服务器明确请求得到USER和ACCT变量、周知环境变量的缺省设置和用户自定义变量的缺省设置。注意:客户端两次引用了USER信息;一次是因为它明确请求的,另一次是因为它是缺省环境的一部分。]

  IACSBENVIRONISVAR"USER"

  VALUE"joe"VAR"ACCT"VALUE

  "kernel"VAR"USER"VALUE"joe"

  VAR"DISPLAY"VALUE"foo:0.0"

  USERVAR"SHELL"VALUE"/bin/csh"

  IACSE

  当现在定义了用户变量或者不明确的变量时,对于响应空环境(在IACSB和IACSE中都没有数据)的客户端,那是合法的。例如:

  IACSBENVIRONISIACSE

  对下列任何都是有效响应:

  IACSBENVIRONSENDIACSE

  IACSBENVIRONSENDVARIACSE

  IACSBENVIRONSENDUSERVARIACSE

  IACSBENVIRONSENDVARUSERVARIACSE

  (最后的范例和第一个相同...)

  预计,支持TelnetENVIRON选项的任何应用都将完全支持这个规范。

  7.涉及的安全问题

  对ENVIRON选项的实施者重要的是理解设置选项的交互性和逻辑/证明过程。应该非常仔细的分析哪个变量在设置客户登录时是“安全的”。一个错误选项的例子将会改一个参数,允许入侵者废止或损害登录/证明程序本身。

  8.参考文献

  [1]VanBokkelen,J.,"TelnetTerminal-TypeOption",RFC1091,FTPSoftware,Inc.,

  February1989.

  [2]Postel,J.andJ.Reynolds,"FileTransferProtocol(FTP)",STD9,RFC959,

  USC/InformationSciencesInstitute,October1985.

  [3]Reynolds,J.andJ.Postel,"AssignedNumbers",STD2,RFC1340,

  USC/InformationSciencesInstitute,July1992.

  [4]Marcy,G.,"TelnetXDisplayLocationOption",RFC1096,CarnegieMellon

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章