3. 

        <meter id="pryje"><nav id="pryje"><delect id="pryje"></delect></nav></meter>
          <label id="pryje"></label>
          
	
	
          
		
			
		
          
    
    	
          
  		
          
		    
          
		      
		      
		      
		    
          
  		
          
  		
          
	
          


	


          
		
          
		            
            
        		
          
		
          







          


          
	
	
          
		
          新聞中心
          
	
          
	

          

          


	
	
	

          
	
          
		
          
			
          CGI安全問題專題
          
						
          
				作者:
				時間:2012-05-17
				來源:網(wǎng)絡(luò)
				
				
				
				
				收藏
			
          

			
          
				
				
			
          

			
          
			
			
          
			
			
          
				
				
			
          
                
			在 計算機 領(lǐng)域——尤其在Internet上——盡管大部分Web 服務(wù) 器所編的程序都盡可能保護自己的內(nèi)容不受侵害,但只要CGI腳本中有一點安全方面的失誤--口令文件、私有數(shù)據(jù)、以及任何東西,就能使 入侵 者能訪問 計算機 。遵循一些簡單的規(guī)則并保持警惕能使自己的CGI腳本免受侵害,從而可以保護自己的權(quán)益。 1. 腳本和程序 在開始決定采用何種語言編寫CGI腳本時應(yīng)考慮幾個因素,其中之一應(yīng)是安全性。Shell 腳本,Perl程序和C可執(zhí)行程序是CGI腳本最常采用的形式,從安全性角度來說每種都備有優(yōu)缺。盡管沒有哪一種是最好的--基于其他方面的考慮,如速度和可重用性--每種都有實用的領(lǐng)域。 Shell腳本一般用于小的、快速的甚至可以用完就不要的CGI程序,因此,編寫它們時常常不考慮安全性。這種疏忽可以導(dǎo)致一些缺陷,使得僅對系統(tǒng)具有一般 知識 的人也能進(jìn)入系統(tǒng)任意走動。 盡管Shell CGI 程序最容易寫,甚至只需拼湊一下即可,但控制它們卻很困難,因為它們一般是通過執(zhí)行外部的其他程序來完成工作的。這就導(dǎo)致一些可能的隱患,CGI 程序會繼承任何它使用的程序的安全問題。 例如,常用UNIX實用程序 awk對于它能處理的數(shù)據(jù)的數(shù)量有一些相當(dāng)嚴(yán)格限制。如果在CGI腳本中使用awk,那么該程序也就有了同樣的限制。Perl比Shell腳本更進(jìn)一步。Perl用于CGI 編程 有很多優(yōu)點,并且相當(dāng)安全。但Perl能給CGI 作者提供足夠的靈活性從而導(dǎo)致對安全性的錯誤感覺。例如,Perl是解釋型的。這意味著它實際在調(diào)用時是先編譯,然后每次執(zhí)行一步。這就很容易使得不正確的用戶數(shù)據(jù)被包括進(jìn)來作為 代碼 的一部分,從而錯誤地進(jìn)行解釋,形成程序中止原因。 最后談?wù)凜。C迅速成為標(biāo)準(zhǔn)應(yīng)用開發(fā)語言,幾乎所有的UNIX和windows NT系統(tǒng)都是用它開發(fā)的。從安全性的角度來看C 似乎是很不錯,但由于它的流行性,它的好幾種安全性問題已廣為人知,而這些問題也能很容易地被人利用。 例如,C 對串處理非常差。它不做任何自動的定位或清理而讓 編程 者自己處理所有事情。在處理串時,大部分C 程序員都是簡單地建立一個預(yù)定義的空間并希望它足夠大以便處理用戶輸入的任何內(nèi)容。 當(dāng)然,Shell腳本、Perl和C 不是僅有的編寫CGI腳本語言。實際上,任何可以按預(yù)定義的方式與Web 服務(wù) 器進(jìn)行交互的 計算機 語言都可以用于編寫CGI程序。在UNIX和Windows NT 服務(wù) 器上,數(shù)據(jù)是通過環(huán)境變量和標(biāo)準(zhǔn)輸入(stdin) 傳給腳本的,所以任何能從這兩種數(shù)據(jù)源讀取并寫入標(biāo)準(zhǔn)輸出(sidout)的語言都能用于創(chuàng)建CGI:awk、FORTRAN、C++、Basic和COBOL,等。windows的程序員可以使用流行的Visual Basic,這意味著有經(jīng)驗的VB程序員不必去學(xué)一門新語言。Macintosh使用AppleEvents、和AppleScript與CGI程序進(jìn)行通信,所以任何可以讀寫這兩者的語言都可使用。 不過,Shell腳本(不管使用那種Shell)、Perl和C仍是最流行為的編寫CGI腳本的語言。這并不是說必須使用它們了只是說大部程序的庫——即大部分經(jīng)過測試的安全的庫——都是用這三種語言編寫的。如果自己來選擇CGI 編程 語言,最好是借鑒前人的經(jīng)驗。 2. 誰也不信 幾乎所有的CGI 安全問題都來自與用戶的交互。接收來自外部數(shù)據(jù)源的輸入之后一個簡單的、可預(yù)見的CGI程序突然向多方向伸展,每個方面都可能有最小的縫隙使得“黑客”可以溜進(jìn)來。正是與用戶的這種交互——通過表單或文件路徑——才給予了CGI 腳本這種能力,但同時也使得它們成了運行在Web 服務(wù) 器上的最潛在的危險部分。 編寫安全的CGI 腳本很大程度上是創(chuàng)造性和妄想的結(jié)合。編寫者必須有足夠的創(chuàng)造性才能想到用戶使用的,不管是無意地還是別的所有的可能隱含導(dǎo)致問題的發(fā)送數(shù)據(jù)的方式。而且必須有點妄想,因為有可能不知道什么時候、什么地方、他們將會一一加以試驗。 2.1 兩種導(dǎo)致問題的方式 當(dāng)用戶登錄進(jìn)入Web 站點并開始進(jìn)行交互訪問時,他們能以兩種方式惹麻煩。一種是不遵守規(guī)則,歪曲或違反頁面中建立的每個限制或約束;另一種方式是按要求去做。 大部分CGI 腳本是作為HTML表單的后臺運行的,負(fù)責(zé)處理由用戶輸入的信息并提供某種定制的輸出。因為在這種情況下,大部分CGI 腳本編寫時都等待某種特殊格式的數(shù)據(jù)。它們期望用戶的輸入能匹配收集并發(fā)送信息的表單。不過事情并不總是這樣。用戶可以有許多種辦法繞過這些預(yù)定義的格式而給腳本發(fā)送一些看起來是隨機的數(shù)據(jù)。CGI 程序必須對此有所準(zhǔn)備。 其次,用戶可以給CGI 腳本發(fā)送所期望的數(shù)據(jù)類型,按預(yù)期的形式在表單中填入每個字段。這種類型的提交可以是想像中的來自某個與站點交互的無意的用戶,也可能來自某個惡意的“黑客”,憑借他有關(guān)操作系統(tǒng)和Web 服務(wù) 器 軟件 的 知識 并利用常見的 編程 錯誤。這些 入侵 ,表面上一切都正常,卻是最危險的、最難檢測出來。Web 站點安全性依賴干這種 入侵 的防止。 2.2 不要相信表單數(shù)據(jù) 在CGI 編程 中最常見的安全失誤就是相信從表單傳到腳本的數(shù)據(jù),用戶是未知的一大堆人,他們總能找到一些 編程 人員從來沒想到過的發(fā)送數(shù)據(jù)的方法--而且是程序員認(rèn)為幾乎不可能的方法。 腳本必須對這些加以考慮。例如,下面這些情形都是可能的: 1)從一組單單選按鈕中選擇的結(jié)果可能不是表單中提供的選項之一。 2)來自某個文本字段的數(shù)據(jù)長度可能大于MAXLENGTH字段允許的長度。 3)字段本身的名字可能與表單中指定的不相符。 2.3 不合理數(shù)據(jù)的來源 因—些無意的或是有意的原因,導(dǎo)致自己的腳本接收到不知道如何去處理的數(shù)據(jù),有可能導(dǎo)致非預(yù)期的——同時很危險的——行為。 下面的 代碼 實現(xiàn)了一種表單并向某個搜索yahoo! 數(shù)據(jù)庫 的CGI腳本送垃圾。該腳本設(shè)計得很好并且很安全,因為它忽略了不認(rèn)識的輸入。 FORM METHOD=POST ACTION= http://search.yahoo.com/bin/search > Enter your name,first then last: INPUT TYPE=TEXT NAME=first> INPUT TYPE=TEXT NAME=last> /FORM 也許用戶碰巧(或者意識地)將URL編輯為這個CGI腳本。當(dāng)瀏覽器向CGI程序提交數(shù)據(jù)時,要簡單地將輸入表單中的數(shù)據(jù)連到CGI的URL上(用于GET METHODS),就像用戶可以很容易地將Web頁面地址輸入到他的瀏覽器一樣,用戶也可以自己修改發(fā)送給這個腳本的數(shù)據(jù)。 例如,當(dāng)單擊表單上的Submit按鈕時,Netscape將一個長串字符放入Location字段,該串由CGI的URL后接一串?dāng)?shù)據(jù)組成,大部分看起來像表單中定義的NAMES和VALUES。如果愿意的話,可以自由地編輯Location字段的內(nèi)容并按自己的意愿修改數(shù)據(jù):增加表單中沒有的字段,擴展由MAXLENGTH選項限制的文本數(shù)據(jù),或者幾乎任何對象。以下顯示了某CGI腳本預(yù)期從表單中提交的URL。 http://www.altavista.digit.com/cgi-bin?pg=qwhat=webimt=q=%22An+Entirely+Other%22 用戶可以修改同一URL,CGI腳本仍被調(diào)用,但現(xiàn)在接收的是非預(yù)期的數(shù)據(jù)。為了保證安全,該腳本應(yīng)該在編寫時就設(shè)計為能將這種輸入識別為不被要求的數(shù)據(jù)并加以拒絕。 最后,某個有野心的黑客也許會寫一個程序連到Web上的 服務(wù) 器并假裝是一個Web瀏覽器。該程序可能做一些任何一個真正的web瀏覽器從未做過的事,例如給CGI腳本發(fā)送成百兆字節(jié)的數(shù)據(jù)。如果CGI腳本不限制從POST METHOD讀取數(shù)據(jù),那怎么辦?它有可能會崩潰,也許允許那個崩潰了系統(tǒng)的人訪問系統(tǒng)。 2.4 拒絕不合要求的表單數(shù)據(jù) CGI腳本可以有幾種方式拒絕接收提交給它的非預(yù)期的輸入。編寫CGI時應(yīng)該使用其中一些 技巧 或所有這些 技巧 。 首先,CGI 腳本應(yīng)設(shè)置接收多少數(shù)據(jù)的限制,不僅限制整個提交,也限制提交中的每個NAME/VALUE對。例如,CGI腳本讀取POST METHOD,檢查CONTENT-LENGTH環(huán)境變量的大小來確定某輸入是不是合理的預(yù)期輸入。如果CGI 腳本設(shè)計接收的唯一數(shù)據(jù)是某人的姓名,那么如果CONTENT-LENGTH大于100字節(jié),就應(yīng)該有理由返回一個錯誤。沒有哪個合理的姓有那么長,通過設(shè)置限制,就能使腳本不再盲目地讀取發(fā)送給它的內(nèi)容。 注意 令人高興的是,不必?fù)?dān)心去限制通過POST方法提交的數(shù)據(jù)。GET是自限制的并且不會向腳本發(fā)送多于1KB的數(shù)據(jù)。 服務(wù) 器自動限制放人QUERY-STRING環(huán)境變量中的數(shù)據(jù)的大小,而這正是GET發(fā)送給CGI程序的信息。 當(dāng)然,黑客們可以很容易地將表單由GET改為PUT從而繞過這種內(nèi)置的限制。至少,程序應(yīng)該檢查一下數(shù)據(jù)是否是用預(yù)期的方法提交的;最好是能正確且安全地處理兩種方法。 下一步,應(yīng)保證腳本知道在接收到不能識別的數(shù)據(jù)時該怎么辦,例如,如果某表單要求用戶選擇兩個單選按鈕之一,腳本就不應(yīng)該假設(shè)因為一個 
				
            
                
			
							
          
                
			            
          
                            	              		              		上一頁
              		1
              		              			              		              	              				              				2
              					              						              						              				下一頁
		              					              				              			              		              	
          
                            
              
            
          
		
          
		
          
		
          
		
          
		
          
			
            
				
          • 
					
					
			  	
            • 
			  	
          • 
					
					
			  	
            • 
			  	
          • 
					
					
			  	
            • 
				
          • 
					
					
				
            • 
				
          • 
					
					
				
            • 
			
          
			
          
		
          
		
		
          
		
          
			
			
		
          
        
		
          
			
          關(guān)鍵詞:
            			            CGI
                        安全問題
                        
            
          
            
			
          
		
          	
		

	

          
	
	
          
		
          
			
          評論
          					
		
          
		
          
			
          
			
				
          
					
					
          
						
                        
					
          
				
          
                		
						
						
			
          
		
          
		
          
		
          
            
			
            
		
          
	
          
	
          
	
          
		

          
	
          
		
          相關(guān)推薦
          					
	
          
	
    
	

          		

          


	
          
	
          
		
		
	
          


    
          
        
          技術(shù)專區(qū)
          
      
          
      
          
			
      
           
       

          

   











          
	
          
	    關(guān)閉
	
          
	
	

          







	
	





          



          


看屁屁www成人影院,亚洲人妻成人图片,亚洲精品成人午夜在线,日韩在线 欧美成人

(function(){
    var bp = document.createElement('script');
    var curProtocol = window.location.protocol.split(':')[0];
    if (curProtocol === 'https') {
        bp.src = 'https://zz.bdstatic.com/linksubmit/push.js';
    }
    else {
        bp.src = 'http://push.zhanzhang.baidu.com/push.js';
    }
    var s = document.getElementsByTagName("script")[0];
    s.parentNode.insertBefore(bp, s);
})();