PerlCGI程式写作常问问题集(4)安全

ReadyGo!技术成就梦想 网络搜索 efish 2008-2-24 2:49:18

5.0－安全

--------------------------------------------------------------------------------

Q5.1:以Perl写成的CGI程式是不是不如以shell或C写的来得安全？
这个问题的答案是：CGI程式先天上就不安全，不管它是用那个语言写成的*。

【译者】WWW及
CGI操作安全FAQ中问题第31对此有深入的探讨。



--------------------------------------------------------------------------------

Q5.2:我该特别留意哪些安全事项？
绝对不要对shell暴露任何form资料。底下这几项通通都是安全漏洞：

open(COMMAND,"/usr/ucb/finger$form_user");
system("/usr/ucb/finger$form_user");
@data=`usr/ucb/finger$form_user`;
话虽如此，在上面的第二种写法中，系统安全可藉着改变参数传送的方式而得以改善。也就是将参数由字串方式传送（shell会先解译），改为序列方式传送。

system("/usr/ucb/finger",$form_user);
您同时应该阅读：

由LincolnStein所着，一份很完整的WWW及CGI操作安全FAQ
PaulPhillips所着，CGI安全FAQ


--------------------------------------------------------------------------------

Q5.3:为什麽大家都说
http://bigidiot.abuse-me.com/perl.exe?foo.pl这样很危险？会有多糟？
极度危险！想想看如果我这麽做会发生什麽事：

http://bigidiot.abuse-me.com/cgi-bin/perl.exe?-e "format: c"


现在您同意了吧？避免这个恶梦发生的方法：

将perl.exe执行档由``cgi-bin""移到server根目录以外的目录里去。
在``cgi-bin""里用批次档(batch)script来叫出您的CGIscript。
以下是一例。假设您的CGIscript叫做``sample.pl""而您的批次档叫``simple.bat""：

@echooff
c:\dos_perl\perl.exec:\netscape\ns-home\docs\cgi-bin\simple.pl

现在，您可以做：

ClickHere


--------------------------------------------------------------------------------

Q5.4:要如何在程式中安全地使用逆向撇号（backticks，"`"，位於键盘左上角）？这麽做：
@ans=`grep"$user_field"some.file`;
是不是真的不安全？
是的！这非常危险！试想，如果$user_field含有这样的内容会有什麽後果：

;rm-fr/;

要达到相同的效果，一个比较安全的做法是*：

if(openGREP,"-|"){
@ans=;
}else{
exec("/usr/local/bin/grep",$user_field,"some.file")
||die"Errorexec"ingcommand","\n";
}

closeGREP;

【译者】如果读者对以上openGREP,"-|"部份的句法有疑问，可以
参阅perlipcmanpages中SafePipeOpens一节的说明。



--------------------------------------------------------------------------------

Q5.5:/$user_variable/这个句法是不是Perl5中的一个安全漏洞？
不！这不是个安全漏洞。但是如果您用eval指令在执行期(runtime)去评估这个叙述，那麽，它会变成一个安全死角。例如这种做法可能很危险：

foreach$regexp(@all_regexps){
eval"foreach(\@data){push(\@matches,\$_)ifm|$regexp|o;}";
}


--------------------------------------------------------------------------------
版权事宜

--------------------------------------------------------------------------------

Thisdocument,andallitsparts,areCopyright(c)1996,Shishir
GundavaramandTomChristiansen.Allrightsreservered.
Permissontodistributethiscollection,inpartorfull,viaelectronic
means(emailed,postedorarchived)orprintedcopyaregrantedproviding
thatnochargesareinvolved,reasonableattemptismadetousethemost
currentversion,andallcreditsandcopyrightnoticesareretained.
Requestsforotherdistributionrights,includingincorporationin
commercialproducts,suchasbooks,magazinearticles,orCD-ROMsshouldbe
madetoeitheroftheauthors.

本文件着作权属於ShishirGundavaram及TomChristiansen所有，Copyright(C)1996。在不涉及收费营利、尽可能地使用最新版，及所有着作权告示保持完整的情况下，作者允许任何人透过电子形式（电子邮件、讨论群布告，或存放），或印表方式对本文件作完整或部份发行。如欲将本文件作其他方式发行，包括将本文件附加於商业产品，诸如书籍、杂志文章，或光碟等之中，必须事先对二位作者其中一人提出请求，以徵得许可授权。

本中译版及译者补充部份着作权属萧百龄及两只老虎工作室所有，Copyright(C)1997。本中译版遵守并使用与上述原文版相同的使用条款发行。

责任编辑: efish 参与评论 查找更多：

2秒记住本站域名

玩过泡泡龙吗？Readygo?Go! 再加上.Com.Cn的后缀，那就是大名小顶的ReadyGo.com.cn

分类导航