CGI教學(xué):CGI安全問題(5)
發(fā)表時(shí)間:2024-05-16 來源:明輝站整理相關(guān)軟件相關(guān)文章人氣:
[摘要]2.7 處理文件名 文件名是提交給CGI腳本的簡(jiǎn)單數(shù)據(jù),但如果不小心的話,卻能導(dǎo)致許多麻煩。如果用戶輸入的名字中包含路徑因素,如目錄斜杠和雙點(diǎn),盡管期望的是輸入一個(gè)簡(jiǎn)單的文件名--例如file.txt--但結(jié)果卻可能是/file.txt或../../../file.txt。根據(jù)Web服務(wù)器的安裝以...
2.7 處理文件名
文件名是提交給CGI腳本的簡(jiǎn)單數(shù)據(jù),但如果不小心的話,卻能導(dǎo)致許多麻煩。如果用戶輸入的名字中包含路徑因素,如目錄斜杠和雙點(diǎn),盡管期望的是輸入一個(gè)簡(jiǎn)單的文件名--例如file.txt--但結(jié)果卻可能是/file.txt或../../../file.txt。根據(jù)Web服務(wù)器的安裝以及對(duì)提交的文件名做什么操作,系統(tǒng)中的所有文件就有可能都暴露給了一個(gè)聰明的黑客。
進(jìn)一步,如果用戶輸入了一個(gè)已有文件的名字或者一個(gè)對(duì)系統(tǒng)的運(yùn)行很重要的文件名,怎么辦?對(duì)如果輸入的名字是/etc/passwd或C:\WINNT\SYSTEM32\KRNL32.DLL怎么辦?根據(jù)在CGI腳本中對(duì)這些文件進(jìn)行什么操作,它們有可能被發(fā)送給用戶或者被垃圾覆蓋了。在Windows 95和Windows NT下,如果不檢查反斜杠字符(\),可能會(huì)允許Web 瀏覽器通過UNC文件名訪問甚至不在該Web機(jī)器上的文件。
如果用戶在文件名中輸入了不合法的字符怎么辦?在UNIX下,任何以句點(diǎn)(.)開頭的文件名都是不可見的。在Windows下斜杠(/)和反斜杠(\)都是目錄分隔符。很可能不小心寫了一個(gè)Perl程序,當(dāng)文件名以管(pipe)( )開頭時(shí),盡管自己以為僅僅是打開了一個(gè)文件,實(shí)際上卻是執(zhí)行了一個(gè)外部程序。如果用戶知道怎么辦的話,甚至可以把控制字符(例如Escape鍵或Return鍵)作為文件名的一部分送給腳本。
更壞的情況是,在shell腳本中,分號(hào)用于結(jié)束一條命令并開始另一條命令。如果腳本設(shè)計(jì)目的是cat用戶輸入的文件,用戶可能輸入file.txt;rm-rf/作為文件名,導(dǎo)致返回fi1e.txt,然后清除整個(gè)硬盤而不經(jīng)任何確認(rèn)。
2.8 輸入合理,輸出卻不合理
為了避免所有這些問題,關(guān)閉由它們打開的所有安全縫隙,檢查用戶輸入的每個(gè)文件名。必須確保輸入正是程序預(yù)期的輸入。
這樣做的最好辦法是將輸入的文件名的每個(gè)字符與可接收字符的清單進(jìn)行比較,如果不匹配就返回一個(gè)錯(cuò)誤。這比維持一個(gè)所有合法字符的清單并比較它們要安全得多——要想讓什么字符溜掉太容易了。
以下程序清單是用Perl如何完成這種比較的例子。它允許任何字符字母(大寫或小寫調(diào))、任何數(shù)字、下劃線和句點(diǎn)。它還進(jìn)行檢查以確保文件名不以句點(diǎn)開頭。這樣,該段代碼就不允許可以改變目錄的斜杠,不允許可以將多條命令放在一行的分號(hào),或者破壞Perl的Open()調(diào)用的Pipes了。
程序清單 保證所有字符都是合法的
if (($file_Name =~ /[^a-zA-Z_\.]/) ($file_Name =~ /^\./)) {
#File name contains an illegal characgter or starts with a period
}
警告
盡管上述程序清單中的代碼清除了大部分不合法的文件名,但操作系可能還有一些限制,而該代碼沒有覆蓋到。例如,文件名可以用數(shù)字開頭嗎?或者以下劃線開頭?如果文件中包含多個(gè)句點(diǎn)或者句點(diǎn)后多于三個(gè)字符怎么辦?整個(gè)文件名足夠短得能滿足文件系統(tǒng)的限制嗎?
必須不斷向自己提出這種問題。在寫CGI腳本時(shí)最危險(xiǎn)的事是認(rèn)為用戶會(huì)遵守指令。其實(shí)用戶是不會(huì)的。保證用戶不犯錯(cuò)誤是編程者自己的事。
2.9 處理HTML
另外一種看起來無害的但卻能導(dǎo)致很大麻煩的輸入是在請(qǐng)求用戶輸入文本信息時(shí)得到的HTML。以下的程序清單是一個(gè)Perl程序片段;它向任何在$user_Name變量中輸入了一個(gè)名字的人,例如John Smith,發(fā)出問候信息。
程序清單 發(fā)出定制的問候腳本
print ("<HTML><TITLE>Greetings!<TITLE><BODY>\n");
print ("Hello,$user_Name! It's good to see you!\n");
print ("</BODY><HTL>\n");
想像一下,如果用戶不是僅僅輸入一個(gè)名字,而是輸入了<HR><H1><P ALIGN="CENTER">John Smith</P><H1><HR>或想像一下當(dāng)腳本希望得到用戶名時(shí),黑客輸入了<IMG SRC="http://edu.chinaz.com/secret/cutekid.gif">,結(jié)果是公開了本該保密的信息。允許輸入HTML可能很危險(xiǎn)。
比輸入簡(jiǎn)單的HTML修改頁面或訪問畫面更危險(xiǎn)的是惡意的黑客可能輸入一條服務(wù)器端的include指令。如果web服務(wù)器設(shè)置為服從服務(wù)器端include,用戶就可以輸入
<!--#include file="/secret/project/p1an.txt"-->
而不是他的名字,以便看到秘密計(jì)劃的全部文本,或者用戶可以輸入<!--#inc1ude fi1e-"/etc/passwd"-->來獲取機(jī)器的口令文件。可能最壞的情況是黑客可能輸入<!--#exec cmd="rm-rf/"-->而不是他的名字。這樣上述程序清單中的代碼會(huì)刪掉硬盤上幾乎所有內(nèi)容。
警告
由于經(jīng)常被惡意地使用,服務(wù)器端的include經(jīng)常被禁止使用以保護(hù)站點(diǎn)免受侵害,F(xiàn)在假定這些都沒問題。即使關(guān)閉了服務(wù)器端的include并且不介意用戶能看到自己硬盤上的任何圖片或者改變頁面顯示的外觀,也仍然有問題--不僅是針對(duì)編程者的,而且針對(duì)其他用戶。
CGI腳本的一個(gè)通常用途是留名冊(cè)(guestbook):訪問站點(diǎn)的顧客可能簽個(gè)名,讓別人知道他們已經(jīng)在那兒了。一般情況下用戶簡(jiǎn)單地輸入他的名字,該名字會(huì)在訪問者清單中出現(xiàn)。但是,如果將The last signee!<FORM><SELECT>作為用戶名輸入怎么辦?<SELECT>標(biāo)記將導(dǎo)致Web瀏覽器忽略位于<SELECT>和一個(gè)不存在的</SELECT>之間的所有內(nèi)容,包括以后清單中加入的任何名字。即使有10個(gè)人簽了名,僅有前3個(gè)會(huì)顯示出來,因?yàn)榈谌齻(gè)名字包含一個(gè)<FORM>和一個(gè)<SELECT>標(biāo)記。因?yàn)榈谌齻(gè)簽名者在他的名字中使用了HTML標(biāo)記,他后面的任何名字都不會(huì)顯示出來。
對(duì)于用戶輸入HTML而不是普通的文本的情況有兩種解決辦法:
1)快速但比較粗糙的辦法是不允許小于號(hào)(<)和大于號(hào)(>),因?yàn)樗蠬TML標(biāo)記必須包含在這兩個(gè)字符中,所以清除它們(或者如果碰到它們就返回一個(gè)錯(cuò)誤)是一種防止HTML被提交并返回的簡(jiǎn)單的辦法。下面一行Perl代碼簡(jiǎn)單地清除了這兩個(gè)字符:$user_Input=~s/<>//g;
2)更精細(xì)一點(diǎn)的辦法是將這兩個(gè)字符轉(zhuǎn)換成它們的HTML換碼--—種特殊的代碼,用于表示每個(gè)字符而不使用該字符本身。下面的代碼通過全部用<替換了小于符號(hào),用>替換了大于符號(hào),從而完成了轉(zhuǎn)換:
$user_Input=~s/</&1t;/g;
$user_Input=~s/>/>/g;