2.5不要相信路徑數(shù)據(jù)

    用戶能修改的另一類型數(shù)據(jù)是PATH_INTO的服務(wù)器環(huán)境變量。該變量由CGI URL中緊跟在腳本文件名之后的任何路徑信息填充的。例如，如果foobar.sh是一個(gè)CGl shell腳本，那么當(dāng)foobar.sh運(yùn)行時(shí)，URL http://www.server.com/cgi-bin/foobar.sh/extra/path/info將導(dǎo)致/extra/path/info被放進(jìn)PATH_INFO環(huán)境變量中。

    如果使用這個(gè)PATH_INFO環(huán)境變量，就必須小心地完全驗(yàn)證它的內(nèi)容。就像表單數(shù)據(jù)能以許多種方式被修改一樣，PATH_INFO也可以修改。盲目地根據(jù)PATH_INFO的中指定的路徑文件進(jìn)行操作的CGI腳本可能會(huì)讓惡意的用戶對(duì)服務(wù)器造成傷害。

    例如，如果某個(gè)CGI腳來設(shè)計(jì)用于簡(jiǎn)單地打印出PATH_INFO中引用的文件，那么編輯該CGI URL的用戶就可以讀取機(jī)器上的幾乎所有文件，如下所示:

#!/bin/sh
#Send the header
echo "Conext-type:text/html"
echo""

#Wrap the file in some HTML
#!/bin/sh
echo"<HTML><HEADER><TITLE>File</TITLE><HEADER><BODY>"
echo"Here is the file you requested:<PRE>\n"
cat $PATH_INFO
echo "</PRE></BODY><HIML>"

    盡管在用戶只單擊預(yù)定義的鏈接(即http://www.server.com/cgi-bin/foobar.sh/public/faq.txt)時(shí)，該腳本正常工作，但是一個(gè)更有創(chuàng)造性的(或惡意的)用戶可能會(huì)利用它接收服務(wù)器上的任何文件。如果他想進(jìn)入http://www.server.com/cgi-bin/foobar.sh/etc/passwd，前面的腳本會(huì)很高興地返回機(jī)器的口令文件——這可是不希望發(fā)生的事。

    另一種安全得多的方式是在可能時(shí)使用PATH_TRANSLATED環(huán)境變量。不是所有的服務(wù)器都支持該變量，所以腳本不能依賴于它。不過如果有的話，它能提供完全修飾的路徑名，而不是像PATH_INFO提供的相對(duì)URL。

    不過在某種情形下，如果在CGI腳本中使用PATH_TRANSLATED的話，則可以訪問通過瀏覽器不能訪問到的文件。應(yīng)該知道這點(diǎn)及它的應(yīng)用。

    在大部分UNIX服務(wù)器上，htaccess文件可以位于文檔樹的每個(gè)子目錄，負(fù)責(zé)控制誰能夠訪問該目錄中的特殊文件。例如它可以用于限制一組Web頁面只給公司雇員看。

   雖然服務(wù)器知道如何解釋.htaccess，從而知道如何限制誰能還是不能看這些頁面，CGI腳本卻不知道。使用PATH_TRANSLATED訪問文件樹中任意文件的程序有可能碰巧覆蓋了服務(wù)器提供的保護(hù)。

    無論使用PATH_INFO還是PATH_TRANSLATED，另一個(gè)重要的步驟是驗(yàn)證路徑以確保它或者是一個(gè)真正的相對(duì)路徑或者是腳本認(rèn)可的幾個(gè)準(zhǔn)確的、預(yù)知的路徑之一。對(duì)于預(yù)定的路徑，腳本將簡(jiǎn)單地將提供的數(shù)據(jù)與認(rèn)可可以使用的文件的內(nèi)部清單進(jìn)行比較，這就是說在增加文件或修改路徑時(shí)必須重新編譯腳本，但安全性卻有了保障。只允計(jì)用戶選擇幾個(gè)預(yù)定義的文件而不允許用戶指定實(shí)際的路徑和文件名。

  下面是處理訪問者提供的路徑時(shí)應(yīng)遵循的一些規(guī)則。

1)相對(duì)路徑不以斜線開頭。斜線意味著"相對(duì)于根"或絕對(duì)路徑。如果有的話，CGI腳本也是很少需要訪問Web根之外的數(shù)據(jù)。這樣它們使用的路徑就是相對(duì)于Web根目錄，而不是絕對(duì)路徑。應(yīng)拒絕任何以斜線開始的內(nèi)容。

2)在路徑中單個(gè)點(diǎn)(.)和兩個(gè)點(diǎn)(..)的序列也有特殊含義。單點(diǎn)意味著對(duì)"對(duì)于當(dāng)前目錄",而雙點(diǎn)意味著"相對(duì)于當(dāng)前目錄的父目錄"。聰明的黑客可以建立象../../../etc/passwd這樣的串逆向三層，然后向下進(jìn)入/etc/passwd文件。應(yīng)拒絕任何包含雙點(diǎn)序列的內(nèi)容。

3)基于NT服務(wù)器使用驅(qū)動(dòng)器字母的概念來引用磁盤卷。包含對(duì)驅(qū)動(dòng)器的引用的路徑都以一個(gè)字母加上一個(gè)冒號(hào)開頭。應(yīng)拒絕任何以冒號(hào)為第二個(gè)字符的內(nèi)容。

4)基于NT的服務(wù)器還支持Univesal Naming Conventions(UNC)引用。一個(gè)UNC文件規(guī)格指定機(jī)器名和一個(gè)共享點(diǎn)，其余部分與指定機(jī)器上的指定的共享點(diǎn)有關(guān)。UNC文件規(guī)格總是以兩個(gè)反斜線開頭。應(yīng)拒絕任何UNC路徑。

2.6一切看起來都正常，不過…

  現(xiàn)在已經(jīng)知道了用戶能給CGI腳本提供非預(yù)期的數(shù)據(jù)的幾種方式以及如何對(duì)付它們了，余下的更大問題是如何驗(yàn)證用戶提交的合法數(shù)據(jù)。

  大部分情況下，正確但聰明地編寫的表單提交會(huì)導(dǎo)致比越界數(shù)據(jù)更多的問題。忽略無意義的輸入很容易，但確定合法的、正確格式的輸入會(huì)不會(huì)導(dǎo)致問題就要困難得多。因?yàn)镃GI腳本非常靈活，幾乎可做計(jì)算機(jī)能做的任何事情，所以安全方面的一個(gè)很小失誤往往能被無限制地加以利用——而這正是最危險(xiǎn)的地方。