泄露 DBUS_SESSION_BUS_ADDRESS 变量是一个漏洞吗?

泄露 DBUS_SESSION_BUS_ADDRESS 变量是一个漏洞吗?

我找到了这个说明:

将通知发送与 cron 结合使用

在这个答案中透露您喜欢的内容DBUS_SESSION_BUS_ADDRESS可以访问每个登录的用户到您的会议:

#!/bin/sh

touch $HOME/.dbus/Xdbus
chmod 600 $HOME/.dbus/Xdbus
env | grep DBUS_SESSION_BUS_ADDRESS > $HOME/.dbus/Xdbus
echo 'export DBUS_SESSION_BUS_ADDRESS' >> $HOME/.dbus/Xdbus

exit 0

这不会有安全风险吗?

答案1

不。

文件所在的目录已获得许可,因此只有该目录的所有者才能访问它们。

$ ls -ld ~/.dbus/
drwx------. 3 saml saml 4096 Jan  5  2014 /home/saml/.dbus/

$ ls -ld ~/.dbus/session-bus/
drwx------. 2 saml saml 4096 Jan 18  2014 /home/saml/.dbus/session-bus/

$ ls -ld ~/.dbus/session-bus/0ee868f8b7da40f48013a281826b1b84-*
-rw-rw-r--. 1 saml saml 467 Mar 22  2014 /home/saml/.dbus/session-bus/0ee868f8b7da40f48013a281826b1b84-0
-rw-rw-r--. 1 saml saml 477 May  4 03:35 /home/saml/.dbus/session-bus/0ee868f8b7da40f48013a281826b1b84-10

因此,如果无法访问上层目录,则除所有者之外的任何用户都将无法访问下层目录的任何内容。

相关内容