作者: Nathan Torkington
日期: 2000年04月26日
from:(www.zdnet.com.cn)
<编者按:不要让 CGI 担上“世界上最流行的安全漏洞”的名声。 Nathan将教给你如何使用Perl的内部安全机制。>
本月的专栏将介绍Perl的称为“tainting”的内部安全机制,它可以让Perl捕捉到任何可能导致安全性问题的系统调用。我强烈推荐在你的所有CGI程序中打开“tainting”机制。
CGI使得互联网上的任何人都可以在你的计算机上运行程序,这就使得CGI成为世界上最流行的安全漏洞。作为程序员,我们的责任是不让坏人侵入我们的系统,对于我们所编制的程序来说,要做到没有漏洞可钻。
例如,下面这个CGI程序,就是个坏程序:
#!/usr/bin/perl -w
# cgi-bad – 一个不好的cgi 脚本的例子
...
$file = param("FILE")
or die "Must fill out the FILE field\n";
unlink("/usr/local/public/data/$file")
or die "Can't delete $file : $!\n";
该脚本所做的是读出在表单中所输入的文件名,并从目录/usr/local/public/data/中删除该名称的文件。错了!该脚本所做的实际上是让任何用户对在网络服务器上usercode可以删除的任何文件作删除操作。请看:
% setuid-bad ../../etc/apache/var/userdb
天哪!那里是用户数据库!
我们本来要做的是检查程序的参数,以确定其是否为文件名。问题是你的程序外部所产生的数据用到了系统调用上,如nlink(), open(),和system()。而你并不打算让在你的程序之外产生的数据影响到外部世界。
Perl有个选项,打开后,可以强迫你检查常数,环境,输入,或其它有可能被不怀好意的人利用的漏洞。该选项称为“tainting”
打开Taint检查选项
要打开taint检查选项,让Perl带一个 -T 选项:
#!/usr/bin/perl -wT
如果我们在上述程序运行时,带有 –T选项,我们会看到如下信息:
Insecure dependency in unlink while running with
-T switch at setuid-bad line 5.
Perl跟踪$file中的值,它是在你的程序外部生成的,(它被称为“tainted”)。 unlink() 被认为是个不安全的操作,因为它对外部世界有影响:文件。在不安全的操作下,企图使用没有信任度的(tainted)数据是危险的。正如我们已经看到的,数据可能有诈。
这些漏洞可以由Perl的taint检查选项在运行时捕捉到,并且使得程序停下来。
Tainted数据
Tainted 数据来源很多,包括:来源于你的环境散列表 (the %ENV) ,参数 (@ARGV),读入的文件和目录,来源于运行的程序中,以及一些系统调用的结果(用getpw读出口令数据库中的GECOS域)。任何对tainted值的操作(添加,合并,插入),其结果值也是tainted。这就好像是数据一旦被粘上了污点,那么无论数据传播到哪里,污点就会被带到哪里。
上一页 下一页
