网站地图    收藏   

主页 > 后端 > 网站安全 >

CGI的安全问题 - 网站安全 - 自学php

来源:自学PHP网    时间:2015-04-17 12:00 作者: 阅读:

[导读] CGI中最常见的漏洞是由于未验证用户输入参数而引起的问题。CGI 脚本一般从 URL 、表单或路径信息(Path Information)中获取用户的请求信息。 Web 程序开发人员容易习惯性认为用户会按照...

CGI中最常见的漏洞是由于未验证用户输入参数而引起的问题。CGI 脚本一般从 URL 、表单或路径信息(Path Information)中获取用户的请求信息。 Web 程序开发人员容易习惯性认为用户会按照要求的格式输入数据,并在这个假定的前提下开发程序,而当这个前提没有满足时,程序的控制逻辑就可能发生错误。对于攻击者来说,他们总能找到一些开发人员未料到的发送数据的方法。
CGI程序中经常会使用路径信息填充 PATH_INFO 或其他环境变量,路径信息通常指 Web 服务器上的那些如配置文件、临时文件或者被脚本因问题调用的文件等此类不用变更的参数。但 PATH_INFO 变量是可以通过其他方式修改的,因而在使用时必须小心地验证其内容,盲目地根据 PATH_INFO 指定的路径文件进行操作的 CGI 脚本可能会被恶意用户利用。
例如,某个 CGI  脚本的功能是打印 PATH_INFO 中引用的文件,脚本程序如下所示:
源码复制打印
#!/bin/sh 
#Send the header 
echo "Content-type:text/html
echo "" 
#Wrap the file in some HTML 
#!/bin/sh 
echo "<HTML><HEADER><TITLE>FILE</TITLE></HEADER></TITLE>" 
echo "Here is the file you requested:<PRE>\n" 
cat $PATH_INFO 
echo "</PRE></BODY></HTML>" 
一个恶意的用户可能会输入这样的 URL:
http://www.2cto.com /cgi-bin/foobar.sh/etc/passed
上述脚本立刻就会返回机器的口令文件。通过这一方法,用户就可以读取机器上的几乎所有文件。
在使用 CGI 进行 Web 应用开发时,有一些应该遵循的重要原则。
1.按照帮助文件正确安装 CGI 程序,删除不必要的安全文件和临时文件。
2.检查 CGI 代码,检查其来源是否可靠、是否存在漏洞或恶意代码。
3.使用 C/C++ 编写 CGI 程序时,注意使用安全的函数。
4.使用安全有效的验证用户的方法。
5.验证用户的来源,防止用户短时间内过多动作。
6.建议过滤下列字符:& ; · 、“ | * ? ~ <> ^ () [] {} $ \n \r \t \0 # ../ 。
7.注意处理好意外和错误情况。

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论