用Delphi編寫CGI程序（五）

2019-11-18 18:49:01

字體：大中小

供稿：網(wǎng)友

CGI 程序的功能是強(qiáng) 大的, 但正是因為如此，如果您作為 CGI 開發(fā) 人員或系統(tǒng) 管理人員不注意編寫和設(shè) 置 CGI 程序的話，將使您的系統(tǒng) 千瘡百孔。本篇就 CGI的安全性問題做一討論。

3 、 CGI 的安全性

　　 CGI 程序的功能是強(qiáng) 大的，它不僅可以具有普通程序的功能，而且可以將程序的結(jié) 果發(fā) 布在 WEB 上。但正是因為 CGI 程序的功能如此強(qiáng) 大，如果您作為 CGI 開發(fā) 人員或系統(tǒng) 管理人員不注意編寫和設(shè) 置 CGI 程序的話，將使您的系統(tǒng) 千瘡百孔，讓一些非法用戶有機(jī) 可乘。

　　這里所講到的安全性并不是 CGI 規(guī) 范引起的，而是編程和系統(tǒng) 設(shè) 置不當(dāng) 引起的。 CGI 規(guī) 范使用戶可以利用服務(wù) 器的計算能力，是在服務(wù) 器上的計算不當(dāng) 導(dǎo) 致了系統(tǒng) 的安全漏洞。下面我給出一個在 UNIX 系統(tǒng) 上的一個 CGI 安全漏洞，這個漏洞是非常常見的。
# !/usr/local/bin/perl
# formmail.cgi

require "cgi.pl";

# Launch e-mail application "/bin/mail" with Subject: header from the "formname" field
open (MAIL, "|/bin/mail -s '".$input{"formname"}."' webweave");

# Add send "formcontents" field as the body of the message
PRint MAIL $input{"formcontents"};
close(MAIL);
exit(0);

　　在這個例子中， CGI 程序將表單的信息提交給 /bin/mail ，并發(fā) 送到 webveave 服務(wù) 器上去。在大多數(shù) 情況下這個 CGI 程序可以正常完成任務(wù) ，但此 CGI 程序未過濾用戶在 WEB 表單中輸入的信息，因此留下了安全隱患。當(dāng) 用戶或別有用心的人輸入了錯誤的數(shù) 據(jù) 可能導(dǎo) 致系統(tǒng) 錯誤或得到不應(yīng) 有的權(quán) 限。

　　例如用戶在 WEB 表單的 "formname" 中填寫下面的內(nèi) 容：

　　 "ls /etc/passwd 'cracker@illegal.org #'

　　在用戶的 WEB 瀏覽器中就會顯示出 /etc/passwd 的內(nèi) 容，若此 UNIX 系統(tǒng) 的 passwd 文件沒有 shadow ，用戶就可以利用此內(nèi) 容，使用 crack jack 或 crack john 就可以試圖破解密碼！

　　前面已經(jīng) 提到， CGI 的安全是程序員和系統(tǒng) 管理員都應(yīng) 負(fù) 責(zé) 的，下面我就分別講一講二者應(yīng) 注意的事：

　　系統(tǒng) 管理員的工作：
　　 1 、與程序員合作，共享有關(guān) 服務(wù) 器安全的信息，同時互相檢查代碼，及時發(fā) 現(xiàn) 代碼中的安全問題。
　　 2 、使用好的服務(wù) 器軟件，經(jīng) 常去服務(wù) 器軟件的 WEB 站點了解最新的信息。
　　 3 、將服務(wù) 器的用戶限制在特定的網(wǎng) 絡(luò) 主機(jī) 上，使用服務(wù) 器的安全管理功能、設(shè) 置路由存取控制等。
　　 4 、對 CGI 功能進(jìn) 行限制，部分高級服務(wù) 僅限于信任的用戶，將測試中的 CGI 程序的使用限制在開發(fā) 人員中，只提供給用戶經(jīng) 過測試的 CGI 程序。
　　 5 、在使用其他人的 CGI 程序時，仔細(xì) 檢查代碼。
　　 6 、將 CGI 程序的使用限制在受保護(hù) 的環(huán) 境中，服務(wù) 器設(shè) 置成非特權(quán) 用戶訪問，并為 CGI 程序專門設(shè) 立一個運(yùn) 行帳戶或組。
　　 7 、將運(yùn) 行 CGI 程序的服務(wù) 器設(shè) 置在防火墻外，這一點一定要注意， CGI 程序的服務(wù) 器必須設(shè) 置在防火墻外，如果設(shè) 置在防火墻內(nèi) ，一旦非法用戶找到了 CGI 程序服務(wù) 器的安全漏洞，他就可以控制在防火墻內(nèi) 的所有主機(jī) ！
　　 8 、降低 CGI 程序的運(yùn) 行優(yōu) 先級，防治用戶惡意運(yùn) 行大量的 CGI 程序導(dǎo) 致服務(wù) 器過載。
　　 9 、訂閱有關(guān) 網(wǎng) 絡(luò) 安全性的郵件，參加網(wǎng) 絡(luò) 安全性的新聞組。

　　 CGI 程序員的工作：
　　 1 、同系統(tǒng) 管理員合作，了解系統(tǒng) 的安全信息，相互檢查代碼。
　　 2 、使用可靠的庫程序，檢查庫程序的源代碼。
　　 3 、從 REMOTE_HOST 中得到客戶機(jī) 名，將一些高級功能限制在受信任的客戶機(jī) 。
　　 4 、如果 WEB 服務(wù) 器提供 HTTP 口令確認(rèn) ，使用 HTTP 口令來限制訪問。
　　 5 、過濾用戶的輸入，去除非法的輸入數(shù) 據(jù) 。
　　 6 、限制輸入數(shù) 據(jù) 的大小，防止惡意用戶輸入大量數(shù) 據(jù) 使服務(wù) 器過載。
　　 7 、避免傳遞用戶數(shù) 據(jù) 到其他應(yīng) 用程序，以免用戶調(diào) 用命令解釋器或利用其他應(yīng) 用程序的安全漏洞。
　　 8 、發(fā) 現(xiàn) 了 CGI 程序的漏洞時，不要對任何人講，更不要在程序中注釋說明，您應(yīng) 該作的就是立刻修補(bǔ) 漏洞。
　　 9 、學(xué) 作攻擊者，找出 CGI 程序的安全漏洞。

上一篇：用Delphi編寫CGI程序（六）

下一篇：用Delphi編寫CGI程序（四）

學(xué)習(xí)交流

索泰發(fā)布一款GTX 1070 Mini迷你版本:小機(jī)

索泰發(fā)布一款GTX 1070 Mini迷你版本:小機(jī)箱大愛...

熱門圖片

猜你喜歡的新聞

猜你喜歡的關(guān)注