CGI安全問題專題 作者: 時間:2012-05-17 來源:網絡 加入技術交流群 掃碼加入和技術大咖面對面交流海量資料庫查詢 收藏 <a target='_blank'><img src='https://ad.eepw.com.cn/www/delivery/avw.php?zoneid=88&cb=INSERT_RANDOM_NUMBER_HERE&n=a635e61e' border='0' alt='' /></a> <a target='_blank'><img src='https://ad.eepw.com.cn/www/delivery/avw.php?zoneid=87&cb=INSERT_RANDOM_NUMBER_HERE&n=a576c0a2' border='0' alt='' /></a> 按鈕未被選擇,另一個就一定被選擇了。下面的Perl 代碼 就犯了這樣的錯誤: if ($form _ Data{radio _ choice} eq button _ one){ # Button One has been clicked } else { # Button Two has been clicked } 這段 代碼 假定因為表單僅提供了兩個選項,而第一項未被選中,那么第二項就肯定被選中了。這不一定是真的。盡管前面的例子沒有什么害處,但在某些情況下這樣的假設可能很危險。 CGI腳本應該能預期這種情形而相應地進行處理。例如,如果出現一些非預期的或不可能的情形,可以打印一個錯誤,如下所述: If ($form _ Data{radio _ choice} eq button _ one) { #Button One seleted } elsif ($form _ Data{radio _ choice} eq button _ two) { #Button Two Selected } else { #Error } 通過加入第二個if語句——顯式檢查radio _ choice實際上是button _ two——這樣腳本更安全了;它不再做假設了。 當然,錯誤不一定是期望腳本在這些情形下生成的。有些腳本過于小心,驗證每個字段,即使是最輕微的非預期數據都生成錯誤信息,這樣往往很掃用戶的興。讓CGI 腳本識別非預期數據然后扔掉它,并且自動選擇一個缺省值也可以。 另一方面,腳本還可幫助用戶糾正錯誤而不是簡單地發一條錯誤消息或設置一個缺省值。如果表單要求用戶輸入機密文字,腳本應能在進行比較之前自動跳過輸入中的空白字符。下面即是一個完成此功能的Perl程序片段。 $user _ input =~ s/\\s//; #Remove white space by replacing it with an empty string if ($user _ input eq $secret _ Word) { #Match! } 最后,可以更進一,讓CGI腳本能處理盡可能多的不同的輸入表單。盡管不可能預期到可能發送給CGI程序的所有內容,但對某個特定方面一般經常有幾種常用的方式,因而可以逐個檢查。 例如,僅僅因為所寫的表單使用POST方法向CGI腳本提交數據,并不意味著數據必須按那種方法進來。應該檢查REQUEET _ METHOD環境變量來確定是使用了GET還是POST方法并相應地讀取數據,而不是假定數據都是來自預期的標準輸入(stdin)。一個真正編寫成功的CGI腳本能接收無論使用什么方法提交的數據并在處理過程中很安全。以下程序清單即是用Perl編寫的一個例子。 程序清單 CGI _ READ.PL 一個充滿活力的讀取格式輸入的程序 #Takes the maximum length allowed as a parameter #Returns 1 and the raw form data,or 0 and the error text sub cgi _ Read { local($input _ Max)=1024 unless $input _ Max=$ _ [0]; local($input _ Method)=$ENV{\REOUEST _ METHOO\); #Check for each possible REQUEST _ METHODS if ($input _ Method eq GET) { #GET local($input _ Size)=length($ENV{\QUERY _ STRING\}); #Check the size of the input if($input _ Size>$input _ Max) { return(0,input too big); } #Read the input from QUERY _ STRING return(1,$ENV{\QUERY _ TRING\}); } elsif ($input _ Method eq POST) { #POST local($input _ Size)=$ENV{\CONTENT _ LENGTH\}; local($input _ Data); #Check the size of the input if ($input _ Size>$input _ Max) { return(0,Input too big); } #Read the input from stdin unless (read(STDIN,$input _ Data,$input _ Size)) { return(0,Could not read STDIN); } return(1,$Input _ Data); } #Unrecognized METHOD return (0,METHOD not GET POST); } 總而言之,腳本應該不對接收的表單數據進行假設,應盡可能預計意料之外的情形并正確地處理不正確的或錯誤的輸入數據。在使用數據之前應按盡可能多的方式測試它拒絕不合理的輸入并打印一條錯誤消息如果某項出錯或漏了應自動選擇一個缺省值甚至可以試圖對輸入進行編碼以成為程序的合理的輸入。選擇哪種方式依賴于自己想花費多少時間和精力,不過記住永遠也不要盲目接收傳給CGI腳來的所有信息。 2.5不要相信路徑數據 用戶能修改的另一類型數據是PATH _ INTO的 服務 器環境變量。該變量由CGI URL中緊跟在腳本文件名之后的任何路徑信息填充的。例如,如果foobar.sh是一個CGl shell腳本,那么當foobar.sh運行時,URL http://www.server.com/cgi-bin/foobar.sh/extra/path/info 將導致/extra/path/info被放進PATH _ INFO環境變量中。 如果使用這個PATH _ INFO環境變量,就必須小心地完全驗證它的內容。就像表單數據能以許多種方式被修改一樣,PATH _ INFO也可以修改。盲目地根據PATH _ INFO的中指定的路徑文件進行操作的CGI腳本可能會讓惡意的用戶對 服務 器造成傷害。 例如,如果某個CGI腳來設計用于簡單地打印出PATH _ INFO中引用的文件,那么編輯該CGI URL的用戶就可以讀取機器上的幾乎所有文件,如下所示: #!/bin/sh #Send the header echo Conext-type:text/html echo #Wrap the file in some HTML #!/bin/sh echoHTML>HEADER>TITLE>File/TITLE>HEADER>BODY> echoHere is the file you requested:PRE>\n cat $PATH _ INFO echo /PRE>/BODY>HIML> 盡管在用戶只單擊預定義的鏈接(即 http://www.server.com/cgi-bin/foobar.sh/public/faq.txt )時,該腳本正常工作,但是一個更有創造性的(或惡意的)用戶可能會利用它接收 服務 器上的任何文件。如果他想進入 http://www.server.com/cgi-bin/foobar.sh/etc/passwd ,前面的腳本會很高興地返回機器的口令文件——這可是不希望發生的事。 另一種安全得多的方式是在可能時使用PATH _ TRANSLATED環境變量。不是所有的 服務 器都支持該變量,所以腳本不能依賴于它。不過如果有的話,它能提供完全修飾的路徑名,而不是像PATH _ INFO提供的相對URL。 不過在某種情形下,如果在CGI腳本中使用PATH _ TRANSLATED的話,則可以訪問通過瀏覽器不能訪問到的文件。應該知道這點及它的應用。 在大部分UNIX 服務 器上,htaccess文件可以位于文檔樹的每個子目錄,負責控制誰能夠訪問該目錄中的特殊文件。例如它可以用于限制一組Web頁面只給公司雇員看。 雖然 服務 器知道如何解釋.htaccess,從而知道如何限制誰能還是不能看這些頁面,CGI腳本卻不知道。使用PATH _ TRANSLATED訪問文件樹中任意文件的程序有可能碰巧覆蓋了 服務 器提供的保護。 無論使用PATH _ INFO還是PATH _ TRANSLATED,另一個重要的步驟是驗證路徑以確保它或者是一個真正的相對路徑或者是腳本認可的幾個準確的、預知的路徑之一。對于預定的路徑,腳本將簡單地將提供的數據與認可可以使用的文件的內部清單進行比較,這就是說在增加文件或修改路徑時必須重新編譯腳本,但安全性卻有了保障。只允計用戶選擇幾個預定義的文件而不允許用戶指定實際的路徑和文件名。 下面是處理訪問者提供的路徑時應遵循的一些規則。 1)相對路徑不以斜線開頭。斜線意味著相對于根或絕對路徑。如果有的話,CGI腳本也是很少需要訪問Web根之外的數據。這樣它們使用的路徑就是相對于Web根目錄,而不是絕對路徑。應拒絕任何以斜線開始的內容。 2)在路徑中單個點(.)和兩個點(..)的序列也有特殊含義。單點意味著對對于當前目錄,而雙點意味著相對于當前目錄的父目錄。聰明的黑客可以建立象../../../etc/passwd這樣的串逆向三層,然后向下進入/etc/passwd文件。應拒絕任何包含雙點序列的內容。 3)基于NT 服務 器使用驅動器字母的概念來引用磁盤卷。包含對驅動器的引用的路徑都以一個字母加上一個冒號開頭。應拒絕任何以冒號為第二個字符的內容。 4)基于NT的 服務 器還支持Univesal Naming Conventions(UNC)引用。一個UNC文件規格指定機器名和一個共享點,其余部分與指定機器上的指定的共享點有關。UNC文件規格總是以兩個反斜線開頭。應拒絕任何UNC路徑。 上一頁 1 2 下一頁
加入技術交流群
評論