<meter id="pryje"><nav id="pryje"><delect id="pryje"></delect></nav></meter>

<label id="pryje"></label>

新聞中心

EEPW首頁(yè) > 模擬技術(shù) > 設(shè)計(jì)應(yīng)用 > CGI安全問(wèn)題專題

CGI安全問(wèn)題專題

作者：時(shí)間：2012-05-17 來(lái)源：網(wǎng)絡(luò)

加入技術(shù)交流群
- 掃碼加入
  和技術(shù)大咖面對(duì)面交流
  海量資料庫(kù)查詢

收藏

按鈕未被選擇，另一個(gè)就一定被選擇了。下面的Perl 代碼就犯了這樣的錯(cuò)誤: if ($form _ Data{radio _ choice} eq button _ one){ # Button One has been clicked } else { # Button Two has been clicked } 這段代碼假定因?yàn)楸韱蝺H提供了兩個(gè)選項(xiàng)，而第一項(xiàng)未被選中，那么第二項(xiàng)就肯定被選中了。這不一定是真的。盡管前面的例子沒(méi)有什么害處，但在某些情況下這樣的假設(shè)可能很危險(xiǎn)。 CGI腳本應(yīng)該能預(yù)期這種情形而相應(yīng)地進(jìn)行處理。例如，如果出現(xiàn)一些非預(yù)期的或不可能的情形，可以打印一個(gè)錯(cuò)誤，如下所述: If ($form _ Data{radio _ choice} eq button _ one) { #Button One seleted } elsif ($form _ Data{radio _ choice} eq button _ two) { #Button Two Selected } else { #Error } 通過(guò)加入第二個(gè)if語(yǔ)句——顯式檢查radio _ choice實(shí)際上是button _ two——這樣腳本更安全了;它不再做假設(shè)了。當(dāng)然，錯(cuò)誤不一定是期望腳本在這些情形下生成的。有些腳本過(guò)于小心，驗(yàn)證每個(gè)字段，即使是最輕微的非預(yù)期數(shù)據(jù)都生成錯(cuò)誤信息，這樣往往很掃用戶的興。讓CGI 腳本識(shí)別非預(yù)期數(shù)據(jù)然后扔掉它，并且自動(dòng)選擇一個(gè)缺省值也可以。另一方面，腳本還可幫助用戶糾正錯(cuò)誤而不是簡(jiǎn)單地發(fā)一條錯(cuò)誤消息或設(shè)置一個(gè)缺省值。如果表單要求用戶輸入機(jī)密文字，腳本應(yīng)能在進(jìn)行比較之前自動(dòng)跳過(guò)輸入中的空白字符。下面即是一個(gè)完成此功能的Perl程序片段。 $user _ input =~ s/\\s//; #Remove white space by replacing it with an empty string if ($user _ input eq $secret _ Word) { #Match! } 最后，可以更進(jìn)一，讓CGI腳本能處理盡可能多的不同的輸入表單。盡管不可能預(yù)期到可能發(fā)送給CGI程序的所有內(nèi)容，但對(duì)某個(gè)特定方面一般經(jīng)常有幾種常用的方式，因而可以逐個(gè)檢查。例如，僅僅因?yàn)樗鶎?xiě)的表單使用POST方法向CGI腳本提交數(shù)據(jù)，并不意味著數(shù)據(jù)必須按那種方法進(jìn)來(lái)。應(yīng)該檢查REQUEET _ METHOD環(huán)境變量來(lái)確定是使用了GET還是POST方法并相應(yīng)地讀取數(shù)據(jù)，而不是假定數(shù)據(jù)都是來(lái)自預(yù)期的標(biāo)準(zhǔn)輸入(stdin)。一個(gè)真正編寫(xiě)成功的CGI腳本能接收無(wú)論使用什么方法提交的數(shù)據(jù)并在處理過(guò)程中很安全。以下程序清單即是用Perl編寫(xiě)的一個(gè)例子。程序清單 CGI _ READ.PL 一個(gè)充滿活力的讀取格式輸入的程序 #Takes the maximum length allowed as a parameter #Returns 1 and the raw form data，or 0 and the error text sub cgi _ Read { local($input _ Max)=1024 unless $input _ Max=$ _ [0]; local($input _ Method)=$ENV{\REOUEST _ METHOO\); #Check for each possible REQUEST _ METHODS if ($input _ Method eq GET) { #GET local($input _ Size)=length($ENV{\QUERY _ STRING\}); #Check the size of the input if($input _ Size>$input _ Max) { return(0,input too big); } #Read the input from QUERY _ STRING return(1,$ENV{\QUERY _ TRING\}); } elsif ($input _ Method eq POST) { #POST local($input _ Size)=$ENV{\CONTENT _ LENGTH\}; local($input _ Data); #Check the size of the input if ($input _ Size>$input _ Max) { return(0,Input too big); } #Read the input from stdin unless (read(STDIN,$input _ Data,$input _ Size)) { return(0,Could not read STDIN); } return(1,$Input _ Data); } #Unrecognized METHOD return (0,METHOD not GET POST); } 總而言之，腳本應(yīng)該不對(duì)接收的表單數(shù)據(jù)進(jìn)行假設(shè)，應(yīng)盡可能預(yù)計(jì)意料之外的情形并正確地處理不正確的或錯(cuò)誤的輸入數(shù)據(jù)。在使用數(shù)據(jù)之前應(yīng)按盡可能多的方式測(cè)試它拒絕不合理的輸入并打印一條錯(cuò)誤消息如果某項(xiàng)出錯(cuò)或漏了應(yīng)自動(dòng)選擇一個(gè)缺省值甚至可以試圖對(duì)輸入進(jìn)行編碼以成為程序的合理的輸入。選擇哪種方式依賴于自己想花費(fèi)多少時(shí)間和精力，不過(guò)記住永遠(yuǎn)也不要盲目接收傳給CGI腳來(lái)的所有信息。 2.5不要相信路徑數(shù)據(jù) 用戶能修改的另一類型數(shù)據(jù)是PATH _ INTO的服務(wù) 器環(huán)境變量。該變量由CGI URL中緊跟在腳本文件名之后的任何路徑信息填充的。例如，如果foobar.sh是一個(gè)CGl shell腳本，那么當(dāng)foobar.sh運(yùn)行時(shí)，URL http://www.server.com/cgi-bin/foobar.sh/extra/path/info 將導(dǎo)致/extra/path/info被放進(jìn)PATH _ INFO環(huán)境變量中。如果使用這個(gè)PATH _ INFO環(huán)境變量，就必須小心地完全驗(yàn)證它的內(nèi)容。就像表單數(shù)據(jù)能以許多種方式被修改一樣，PATH _ INFO也可以修改。盲目地根據(jù)PATH _ INFO的中指定的路徑文件進(jìn)行操作的CGI腳本可能會(huì)讓惡意的用戶對(duì) 服務(wù) 器造成傷害。例如，如果某個(gè)CGI腳來(lái)設(shè)計(jì)用于簡(jiǎn)單地打印出PATH _ INFO中引用的文件，那么編輯該CGI URL的用戶就可以讀取機(jī)器上的幾乎所有文件，如下所示: #!/bin/sh #Send the header echo Conext-type:text/html echo #Wrap the file in some HTML #!/bin/sh echoHTML>HEADER>TITLE>File/TITLE>HEADER>BODY> echoHere is the file you requested:PRE>\n cat $PATH _ INFO echo /PRE>/BODY>HIML> 盡管在用戶只單擊預(yù)定義的鏈接(即 http://www.server.com/cgi-bin/foobar.sh/public/faq.txt )時(shí)，該腳本正常工作，但是一個(gè)更有創(chuàng)造性的(或惡意的)用戶可能會(huì)利用它接收服務(wù) 器上的任何文件。如果他想進(jìn)入 http://www.server.com/cgi-bin/foobar.sh/etc/passwd ，前面的腳本會(huì)很高興地返回機(jī)器的口令文件——這可是不希望發(fā)生的事。另一種安全得多的方式是在可能時(shí)使用PATH _ TRANSLATED環(huán)境變量。不是所有的服務(wù) 器都支持該變量，所以腳本不能依賴于它。不過(guò)如果有的話，它能提供完全修飾的路徑名，而不是像PATH _ INFO提供的相對(duì)URL。不過(guò)在某種情形下，如果在CGI腳本中使用PATH _ TRANSLATED的話，則可以訪問(wèn)通過(guò)瀏覽器不能訪問(wèn)到的文件。應(yīng)該知道這點(diǎn)及它的應(yīng)用。在大部分UNIX 服務(wù) 器上，htaccess文件可以位于文檔樹(shù)的每個(gè)子目錄，負(fù)責(zé)控制誰(shuí)能夠訪問(wèn)該目錄中的特殊文件。例如它可以用于限制一組Web頁(yè)面只給公司雇員看。雖然服務(wù) 器知道如何解釋.htaccess，從而知道如何限制誰(shuí)能還是不能看這些頁(yè)面，CGI腳本卻不知道。使用PATH _ TRANSLATED訪問(wèn)文件樹(shù)中任意文件的程序有可能碰巧覆蓋了服務(wù) 器提供的保護(hù)。無(wú)論使用PATH _ INFO還是PATH _ TRANSLATED，另一個(gè)重要的步驟是驗(yàn)證路徑以確保它或者是一個(gè)真正的相對(duì)路徑或者是腳本認(rèn)可的幾個(gè)準(zhǔn)確的、預(yù)知的路徑之一。對(duì)于預(yù)定的路徑，腳本將簡(jiǎn)單地將提供的數(shù)據(jù)與認(rèn)可可以使用的文件的內(nèi)部清單進(jìn)行比較，這就是說(shuō)在增加文件或修改路徑時(shí)必須重新編譯腳本，但安全性卻有了保障。只允計(jì)用戶選擇幾個(gè)預(yù)定義的文件而不允許用戶指定實(shí)際的路徑和文件名。下面是處理訪問(wèn)者提供的路徑時(shí)應(yīng)遵循的一些規(guī)則。 1)相對(duì)路徑不以斜線開(kāi)頭。斜線意味著相對(duì)于根或絕對(duì)路徑。如果有的話，CGI腳本也是很少需要訪問(wèn)Web根之外的數(shù)據(jù)。這樣它們使用的路徑就是相對(duì)于Web根目錄，而不是絕對(duì)路徑。應(yīng)拒絕任何以斜線開(kāi)始的內(nèi)容。 2)在路徑中單個(gè)點(diǎn)(.)和兩個(gè)點(diǎn)(..)的序列也有特殊含義。單點(diǎn)意味著對(duì)對(duì)于當(dāng)前目錄,而雙點(diǎn)意味著相對(duì)于當(dāng)前目錄的父目錄。聰明的黑客可以建立象../../../etc/passwd這樣的串逆向三層，然后向下進(jìn)入/etc/passwd文件。應(yīng)拒絕任何包含雙點(diǎn)序列的內(nèi)容。 3)基于NT 服務(wù) 器使用驅(qū)動(dòng)器字母的概念來(lái)引用磁盤(pán)卷。包含對(duì)驅(qū)動(dòng)器的引用的路徑都以一個(gè)字母加上一個(gè)冒號(hào)開(kāi)頭。應(yīng)拒絕任何以冒號(hào)為第二個(gè)字符的內(nèi)容。 4)基于NT的服務(wù) 器還支持Univesal Naming Conventions(UNC)引用。一個(gè)UNC文件規(guī)格指定機(jī)器名和一個(gè)共享點(diǎn)，其余部分與指定機(jī)器上的指定的共享點(diǎn)有關(guān)。UNC文件規(guī)格總是以兩個(gè)反斜線開(kāi)頭。應(yīng)拒絕任何UNC路徑。

上一頁(yè) 1 2 下一頁(yè)

<a target='_blank'><img src='https://ad.eepw.com.cn/www/delivery/avw.php?zoneid=114&cb=INSERT_RANDOM_NUMBER_HERE&n=a7a83b30' border='0' alt='' /></a>
<a target='_blank'><img src='https://ad.eepw.com.cn/www/delivery/avw.php?zoneid=115&cb=INSERT_RANDOM_NUMBER_HERE&n=a3d98779' border='0' alt='' /></a>
<a target='_blank'><img src='https://ad.eepw.com.cn/www/delivery/avw.php?zoneid=116&cb=INSERT_RANDOM_NUMBER_HERE&n=abca108c' border='0' alt='' /></a>
<a target='_blank'><img src='https://ad.eepw.com.cn/www/delivery/avw.php?zoneid=117&cb=INSERT_RANDOM_NUMBER_HERE&n=a1775170' border='0' alt='' /></a>
<a target='_blank'><img src='https://ad.eepw.com.cn/www/delivery/avw.php?zoneid=118&cb=INSERT_RANDOM_NUMBER_HERE&n=a449048b' border='0' alt='' /></a>

關(guān)鍵詞： CGI 安全問(wèn)題

評(píng)論

相關(guān)推薦

基于嵌入式系統(tǒng)的Internet接口開(kāi)發(fā)

資源下載 Samsung 嵌入式系統(tǒng) Linux S3C2410 Internet接口 ARM9 CGI | 2008-09-20

SIN210學(xué)習(xí)筆記__CGI & LED

HelloWii | 2015-02-21

工控系統(tǒng)面臨的安全問(wèn)題及解決方案

模擬技術(shù) 工控系統(tǒng) 安全問(wèn)題解決方案 | 2013-09-28

富士通CGI Studio實(shí)現(xiàn)車用嵌入式智能人機(jī)接口設(shè)計(jì)

設(shè)計(jì)方案富士通 CGI Studio 嵌入式 | 2015-09-19

最適合車用多顯示器綜合HMI系統(tǒng)的開(kāi)發(fā)平臺(tái)

設(shè)計(jì)方案 MB86R11 SoC CGI Studio | 2015-06-27

(Ebook.PDF).-.O\'Reilly.CGI.Programming

資源下載 Ebook CGI Programming | 2007-02-28

無(wú)線IPPBX系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

資源下載無(wú)線IPPBX VOIP GSM PCM CPLD MPC860T 短信網(wǎng)關(guān) SIP協(xié)議嵌入式Linux Web服務(wù)器 HDLC幀 HTTP協(xié)議 CGI HTML | 2009-03-16

SIN210學(xué)習(xí)筆記__CGI

HelloWii | 2015-02-14

工控系統(tǒng)里不可忽視的安全問(wèn)題

模擬技術(shù) 工控系統(tǒng) 安全問(wèn)題 | 2013-12-21

網(wǎng)絡(luò)儀表數(shù)據(jù)實(shí)時(shí)監(jiān)測(cè)功能的實(shí)現(xiàn)

資源下載網(wǎng)絡(luò)儀表 ARM-Linux 嵌入式 Web Server CGI Flash | 2009-03-10

基于CGI的無(wú)線路由中短信功能設(shè)計(jì)

無(wú)線路由動(dòng)態(tài)Web CGI 短信 PDU | 2016-10-10

基于XSCALE PXA270平臺(tái)的物聯(lián)網(wǎng)服務(wù)器設(shè)計(jì)

嵌入式系統(tǒng) ARM Linux 物聯(lián)網(wǎng) Web服務(wù)器 CGI | 2014-07-01

基于ARM11的嵌入式Web監(jiān)控系統(tǒng)的研究與實(shí)現(xiàn)

嵌入式系統(tǒng) 嵌入式Linux Web服務(wù)器 Boa CGI MJPG―streamer | 2016-09-12

云計(jì)算面臨的安全問(wèn)題及防護(hù)措施

工控自動(dòng)化云計(jì)算安全問(wèn)題防護(hù) | 2013-06-08

基于ARM―LINUX平臺(tái)的物聯(lián)網(wǎng)服務(wù)器設(shè)計(jì)

嵌入式系統(tǒng) ARM Linux 物聯(lián)網(wǎng) Web服務(wù)器 CGI | 2016-09-12

SMT車間溫濕度分布式遠(yuǎn)程監(jiān)控系統(tǒng)的設(shè)計(jì)

嵌入式系統(tǒng) SOLITE數(shù)據(jù)庫(kù) QT界面嵌入式Web服務(wù)器 CGI | 2016-10-08

全面升級(jí)駕駛艙交互體驗(yàn)，升級(jí)后的CGI Studio引領(lǐng)汽車HMI設(shè)計(jì)新潮流

汽車電子駕駛艙交互體驗(yàn) CGI Studio 汽車HMI設(shè)計(jì) | 2024-01-04

嵌入式視頻監(jiān)控組件的設(shè)計(jì)與實(shí)現(xiàn)

設(shè)計(jì)方案 CGI 嵌入式WEB 視頻監(jiān)控組件 PECOS 串口 | 2015-06-08

Linux下的Cgic-Web標(biāo)準(zhǔn)庫(kù)開(kāi)發(fā)指導(dǎo)

資源下載 CGI linux | 2012-05-10

富士通半導(dǎo)體推出新版CGI Studio可支持OpenGL ES 3.0

嵌入式系統(tǒng) 富士通 CGI Studio 人機(jī)界面 | 2014-08-11

焦點(diǎn)

推薦視頻

技術(shù)專區(qū)

看屁屁www成人影院,亚洲人妻成人图片,亚洲精品成人午夜在线,日韩在线欧美成人 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();