CGI安全問題專題

作者：時間：2012-05-17 來源：網(wǎng)絡(luò)

加入技術(shù)交流群
- 掃碼加入
  和技術(shù)大咖面對面交流
  海量資料庫查詢

按鈕未被選擇，另一個就一定被選擇了。下面的Perl 代碼就犯了這樣的錯誤: if ($form _ Data{radio _ choice} eq button _ one){ # Button One has been clicked } else { # Button Two has been clicked } 這段代碼假定因為表單僅提供了兩個選項，而第一項未被選中，那么第二項就肯定被選中了。這不一定是真的。盡管前面的例子沒有什么害處，但在某些情況下這樣的假設(shè)可能很危險。 CGI腳本應(yīng)該能預(yù)期這種情形而相應(yīng)地進(jìn)行處理。例如，如果出現(xiàn)一些非預(yù)期的或不可能的情形，可以打印一個錯誤，如下所述: If ($form _ Data{radio _ choice} eq button _ one) { #Button One seleted } elsif ($form _ Data{radio _ choice} eq button _ two) { #Button Two Selected } else { #Error } 通過加入第二個if語句——顯式檢查radio _ choice實際上是button _ two——這樣腳本更安全了;它不再做假設(shè)了。當(dāng)然，錯誤不一定是期望腳本在這些情形下生成的。有些腳本過于小心，驗證每個字段，即使是最輕微的非預(yù)期數(shù)據(jù)都生成錯誤信息，這樣往往很掃用戶的興。讓CGI 腳本識別非預(yù)期數(shù)據(jù)然后扔掉它，并且自動選擇一個缺省值也可以。另一方面，腳本還可幫助用戶糾正錯誤而不是簡單地發(fā)一條錯誤消息或設(shè)置一個缺省值。如果表單要求用戶輸入機(jī)密文字，腳本應(yīng)能在進(jìn)行比較之前自動跳過輸入中的空白字符。下面即是一個完成此功能的Perl程序片段。 $user _ input =~ s/\\s//; #Remove white space by replacing it with an empty string if ($user _ input eq $secret _ Word) { #Match! } 最后，可以更進(jìn)一，讓CGI腳本能處理盡可能多的不同的輸入表單。盡管不可能預(yù)期到可能發(fā)送給CGI程序的所有內(nèi)容，但對某個特定方面一般經(jīng)常有幾種常用的方式，因而可以逐個檢查。例如，僅僅因為所寫的表單使用POST方法向CGI腳本提交數(shù)據(jù)，并不意味著數(shù)據(jù)必須按那種方法進(jìn)來。應(yīng)該檢查REQUEET _ METHOD環(huán)境變量來確定是使用了GET還是POST方法并相應(yīng)地讀取數(shù)據(jù)，而不是假定數(shù)據(jù)都是來自預(yù)期的標(biāo)準(zhǔn)輸入(stdin)。一個真正編寫成功的CGI腳本能接收無論使用什么方法提交的數(shù)據(jù)并在處理過程中很安全。以下程序清單即是用Perl編寫的一個例子。程序清單 CGI _ READ.PL 一個充滿活力的讀取格式輸入的程序 #Takes the maximum length allowed as a parameter #Returns 1 and the raw form data，or 0 and the error text sub cgi _ Read { local($input _ Max)=1024 unless $input _ Max=$ _ [0]; local($input _ Method)=$ENV{\REOUEST _ METHOO\); #Check for each possible REQUEST _ METHODS if ($input _ Method eq GET) { #GET local($input _ Size)=length($ENV{\QUERY _ STRING\}); #Check the size of the input if($input _ Size>$input _ Max) { return(0,input too big); } #Read the input from QUERY _ STRING return(1,$ENV{\QUERY _ TRING\}); } elsif ($input _ Method eq POST) { #POST local($input _ Size)=$ENV{\CONTENT _ LENGTH\}; local($input _ Data); #Check the size of the input if ($input _ Size>$input _ Max) { return(0,Input too big); } #Read the input from stdin unless (read(STDIN,$input _ Data,$input _ Size)) { return(0,Could not read STDIN); } return(1,$Input _ Data); } #Unrecognized METHOD return (0,METHOD not GET POST); } 總而言之，腳本應(yīng)該不對接收的表單數(shù)據(jù)進(jìn)行假設(shè)，應(yīng)盡可能預(yù)計意料之外的情形并正確地處理不正確的或錯誤的輸入數(shù)據(jù)。在使用數(shù)據(jù)之前應(yīng)按盡可能多的方式測試它拒絕不合理的輸入并打印一條錯誤消息如果某項出錯或漏了應(yīng)自動選擇一個缺省值甚至可以試圖對輸入進(jìn)行編碼以成為程序的合理的輸入。選擇哪種方式依賴于自己想花費多少時間和精力，不過記住永遠(yuǎn)也不要盲目接收傳給CGI腳來的所有信息。 2.5不要相信路徑數(shù)據(jù) 用戶能修改的另一類型數(shù)據(jù)是PATH _ INTO的服務(wù) 器環(huán)境變量。該變量由CGI URL中緊跟在腳本文件名之后的任何路徑信息填充的。例如，如果foobar.sh是一個CGl shell腳本，那么當(dāng)foobar.sh運行時，URL http://www.server.com/cgi-bin/foobar.sh/extra/path/info 將導(dǎo)致/extra/path/info被放進(jìn)PATH _ INFO環(huán)境變量中。如果使用這個PATH _ INFO環(huán)境變量，就必須小心地完全驗證它的內(nèi)容。就像表單數(shù)據(jù)能以許多種方式被修改一樣，PATH _ INFO也可以修改。盲目地根據(jù)PATH _ INFO的中指定的路徑文件進(jìn)行操作的CGI腳本可能會讓惡意的用戶對服務(wù) 器造成傷害。例如，如果某個CGI腳來設(shè)計用于簡單地打印出PATH _ INFO中引用的文件，那么編輯該CGI URL的用戶就可以讀取機(jī)器上的幾乎所有文件，如下所示: #!/bin/sh #Send the header echo Conext-type:text/html echo #Wrap the file in some HTML #!/bin/sh echoHTML>HEADER>TITLE>File/TITLE>HEADER>BODY> echoHere is the file you requested:PRE>\n cat $PATH _ INFO echo /PRE>/BODY>HIML> 盡管在用戶只單擊預(yù)定義的鏈接(即 http://www.server.com/cgi-bin/foobar.sh/public/faq.txt )時，該腳本正常工作，但是一個更有創(chuàng)造性的(或惡意的)用戶可能會利用它接收服務(wù) 器上的任何文件。如果他想進(jìn)入 http://www.server.com/cgi-bin/foobar.sh/etc/passwd ，前面的腳本會很高興地返回機(jī)器的口令文件——這可是不希望發(fā)生的事。另一種安全得多的方式是在可能時使用PATH _ TRANSLATED環(huán)境變量。不是所有的服務(wù) 器都支持該變量，所以腳本不能依賴于它。不過如果有的話，它能提供完全修飾的路徑名，而不是像PATH _ INFO提供的相對URL。不過在某種情形下，如果在CGI腳本中使用PATH _ TRANSLATED的話，則可以訪問通過瀏覽器不能訪問到的文件。應(yīng)該知道這點及它的應(yīng)用。在大部分UNIX 服務(wù) 器上，htaccess文件可以位于文檔樹的每個子目錄，負(fù)責(zé)控制誰能夠訪問該目錄中的特殊文件。例如它可以用于限制一組Web頁面只給公司雇員看。雖然服務(wù) 器知道如何解釋.htaccess，從而知道如何限制誰能還是不能看這些頁面，CGI腳本卻不知道。使用PATH _ TRANSLATED訪問文件樹中任意文件的程序有可能碰巧覆蓋了服務(wù) 器提供的保護(hù)。無論使用PATH _ INFO還是PATH _ TRANSLATED，另一個重要的步驟是驗證路徑以確保它或者是一個真正的相對路徑或者是腳本認(rèn)可的幾個準(zhǔn)確的、預(yù)知的路徑之一。對于預(yù)定的路徑，腳本將簡單地將提供的數(shù)據(jù)與認(rèn)可可以使用的文件的內(nèi)部清單進(jìn)行比較，這就是說在增加文件或修改路徑時必須重新編譯腳本，但安全性卻有了保障。只允計用戶選擇幾個預(yù)定義的文件而不允許用戶指定實際的路徑和文件名。下面是處理訪問者提供的路徑時應(yīng)遵循的一些規(guī)則。 1)相對路徑不以斜線開頭。斜線意味著相對于根或絕對路徑。如果有的話，CGI腳本也是很少需要訪問Web根之外的數(shù)據(jù)。這樣它們使用的路徑就是相對于Web根目錄，而不是絕對路徑。應(yīng)拒絕任何以斜線開始的內(nèi)容。 2)在路徑中單個點(.)和兩個點(..)的序列也有特殊含義。單點意味著對對于當(dāng)前目錄,而雙點意味著相對于當(dāng)前目錄的父目錄。聰明的黑客可以建立象../../../etc/passwd這樣的串逆向三層，然后向下進(jìn)入/etc/passwd文件。應(yīng)拒絕任何包含雙點序列的內(nèi)容。 3)基于NT 服務(wù) 器使用驅(qū)動器字母的概念來引用磁盤卷。包含對驅(qū)動器的引用的路徑都以一個字母加上一個冒號開頭。應(yīng)拒絕任何以冒號為第二個字符的內(nèi)容。 4)基于NT的服務(wù) 器還支持Univesal Naming Conventions(UNC)引用。一個UNC文件規(guī)格指定機(jī)器名和一個共享點，其余部分與指定機(jī)器上的指定的共享點有關(guān)。UNC文件規(guī)格總是以兩個反斜線開頭。應(yīng)拒絕任何UNC路徑。

新聞中心

CGI安全問題專題

評論

相關(guān)推薦

技術(shù)專區(qū)