fengbenming
fengbenming
@LeeEirc 大佬,这边是提不了issue吗?
> 统一提到 https://github.com/jumpserver/jumpserver/issues 好的,感谢大佬!
> 但是日志记录有点问题。记录用户输入的部分把用户的输出打印出来 可以设置高危命令过滤,然后输入高危命令带参数不超过一行和超过一行的情况,就可以触发bug! Bug 重现步骤(有截图更好) 1. 设置高危命令 2. 打开web terminal 输入不超过一行包含高危命令的命令 3. 打开web terminal 输入超过一行包含高危命令的命令
> 字符命令解析,都是通过 terminalparser 库中做处理,尽可能避免对原始的输入数据做单独处理。可以贴下你测试使用的完整命令吗,这边也验证下。 嗯嗯,这个地方处理感觉像是对命令的预处理,还原用户原始命令输入,因为行末的' \r'是服务器回显添加上去的。 Bug 重现步骤(有截图更好) 1. 设置高危命令 hadoop fs -rm -r 2. 打开web terminal 输入不超过一行包含高危命令的命令 hadoop fs -rm -r obj://x/y/z 3. 打开web terminal 输入超过一行包含高危命令的命令 hadoop fs -rm...
> 我连接的资产系统:centos 7, 并不能复现你说的情况,无论是一行,还是多行都可以被拦截。 > >  大佬,调式了你最新的代码,高危命令过滤的问题在 https://github.com/jumpserver/koko/commit/a6249c3a13628f22fae1f818cf415eafc7c86f6c proxy/parse.go:315 parseCmdInput方法里面修复掉了 ,我之前是在v2.22.2的版本中遇到了。 但用户命令解析错误的问题依然存在。 例如: 假如屏幕很窄,输入**ls abcdefghijklmn** 命令行需要换行。 那么在换行处服务端回显命令的时候会自动加上' \r', 最后结算命令的时候就会变成: **ls abcdefg \rhijklmn** 最后解析的命令组为: > ls abcdefg > hijklmn 而原始的用户输入是:...
> Facing same issue, anyone find anything for the workaround of this? It designed just data copy, not the stream copy. Because if the write stream handle can copy, then...