조건 반사적으로 wget 해 버리면 위험할지도 모른다는 이야기.
넷상에서 파일을 떨어뜨리고 싶을 때, 드디어 반사적으로 wget 해 버리는 자신과 같은 인종에게.

그만 부담없이 사용해 버리는 wget

「그럼, ○○로부터 파일을 DL 해 전개해 두어.」
라고 지시되었을 때, 우선 그 파일을 wget한다고 하는 것은 자신만이 아닐 것.
그러나 그 wget, 불행하게도 취약성(CVE-2016-4971)이 발견되었다는 것.
JVNDB-2016-003391 GNU Wget의 모든 파일에 기록되는 취약점

무슨 일이야?

이번 취약점에서 지적된 것은 wget을 사용하여 파일을 다운로드하려고 할 때,
공격자의 서버가, 미리 FTP 서버상에 배치된 악의 있는 파일에 대한 HTTP 302 리디렉션을 돌려줌으로써 이용자의 단말에 임의의 파일을 배치되어 버린다는 현상입니다.
우선, 실제로 시험해 보았습니다.

예상 결과

원하지 않는 결과(FTP 서버의 리소스로 리디렉션한 경우)

요청은 모두 서버에서 sample.txt를 얻고 있지만,
이번에는 서버로부터의 응답을 변조하고, 각각 HTTP와 FTP로 wrong.txt를 취득하도록 리디렉션하고 있습니다.

ftp 서버의 파일로 리디렉션하면 파일 이름이 유지되지 않고 wrong.txt로 저장됩니다.

그럼 어떻게 할까

수정 적용
다행히 이미 수정사항이 공개되었습니다.
실망스러워지기 전에 적용해 둡시다.

우선 옵션을 붙여 리디렉션을 피한다
런타임에$ wget --max-redirect=0 <取得対象>그렇다면, 일단 리디렉션되어 버리는 것은 막겠네요.

wget 명령을 사용하지 않음
다른 명령을 사용하여 문제를 피하는 것이 좋습니다.
특히 curl 명령은 일련 번호 저장이나 멋진 옵션을 갖추고 있습니다.