首页 > 试题广场 >

设备升级过程中使用了 "curl https:ota.a

[单选题]
设备升级过程中使用了 "curl https://ota.a.com/update.bin -k -o /tmp/update.bin" 命令获取升级包,下列说法正确的是?
  • 升级包文件写入到 /tmp 目录,该目录一般有任意用户写入权限,所以升级包会被劫持
  • 升级包使用了 HTTPS 协议,会极大消耗服务器资源,应该使用 HTTP 协议
  • 升级包获取忽略了证书校验,会造成中间人攻击
  • 升级包使用 curl 会有安全隐患,需要使用 wget 来下载升级包
curl命令是一个利用URL规则在命令行下工作的文件传输工具。
它支持文件的上传和下载,所以是综合传输工具,但按传统,习惯称curl为下载工具。作为一款强力工具,curl支持包括HTTP、HTTPS、ftp等众多协议,还支持POST、cookies、认证、从指定偏移处下载部分文件、用户代理字符串、限速、文件大小、进度条等特征。

curl https://ota.a.com/update.bin -k -o /tmp/update.bin
curl后面肯定得跟一个URL。
-k/--insecure:允许不使用证书到SSL站点
-o/--output:把输出写到该文件中
/tmp/update.bin:上一个参数对应文件,写到这个文件中。

因为允许不使用证书,所以可能造成中间人攻击。
发表于 2020-04-06 00:31:42 回复(1)
百度:
cURL是一个利用URL语法在命令行下工作的文件传输工具,1997年首次发行。它支持文件上传和下载,所以是综合传输工具,但按传统,习惯称cURL为下载工具。cURL还包含了用于程序开发的libcurl。
如果是采用证书认证的http地址,证书在本地,那么curl这样使用: 
curl -E mycert.pem https://that.secure.server. com

发表于 2019-08-30 07:42:38 回复(0)
  • 选项 A 错误。虽然 /tmp 目录权限通常是任意用户可写的,但是这并不等同于升级包会被劫持。如果服务器端使用 HTTPS 协议,并且升级包内容有数字签名(或者其他类似的校验机制),那么可以保证升级包的完整性和安全性。
  • 选项 B 错误。HTTPS 协议比 HTTP 协议更加安全可靠,虽然它可能会消耗更多的服务器资源,但是这并不是不使用 HTTPS 的充分理由。
  • 选项 D 错误。curl 和 wget 都是命令行下载工具,它们的作用都是在命令行中下载指定的文件。两者的安全性并没有太大区别。而且,它们的选项非常相似,只是命令行参数略有不同而已。
  • 选项 C 正确。使用 -k 选项会忽略 SSL/TLS 证书验证,这样容易导致中间人攻击。攻击者可以在升级包获取的过程中,对数据进行篡改,或者将恶意程序伪装成升级包进行传播。因此,在设备升级过程中,应该尽量避免使用 -k 选项,确保通信的安全性。
发表于 2023-11-01 11:27:25 回复(0)
为啥a不对
发表于 2022-06-20 14:19:16 回复(1)