| Sicherheit: CGI-Scripte |
.
|
Sicherheitsaspekte bei Verwendung von freien PERL/CGI-Scripten:
Viele - oft kleinere - Webspaceprovider bieten auch schon bei einem kleinen Webspace-Paketen / Präsenzen Entfaltungsmöglichkeiten wie z.B. das Ausführen beliebiger freier Perl-CGI-Scripte (z.B. Gästebücher, Newsletter, CGI-basierte Foren etc.)
Perl-CGI-Skripte in Perl können jedoch auch ein Sicherheitsrisiko und Einfallstor für Hacker darstellen.
|
Wie geht das? Nun, nehmen wir mal an, Du hast ein Gästebuch. Dort trägt sich normalerweise jemand ein, mit seinem Namen, mit einem Text etc. .
Normalerweise. Doch wehe, wenn derjenige in das Eingabefeld ganz andere Sachen reinkopiert, z.B. Zeilenende, neue Zeile, ganze Programme.
Daher sollte man generell die Eingabefelder auf gefährliche Eingabe, "malignious codes", abklopfen:
|
| |
z.B. kein ENTER, Line Feed, EXEC, SCRIPT, Bcc:, Cc:, - bzw. automatisch ersetzen)
konkret z.B. Muster wie /bcc/i bzw. /[B|b][C|c][C|c]\:/ ersetzen etc.:
$value =~ s/[C|c][C|c]\:/_C_C_/g;
$value =~ s/[B|b][C|c][C|c]\:/_BC_C_/g; # KEIN Bcc: & Cc: wg. Hackern die Spam versenden
$value =~ s/\;/ /g; $value =~ s/\|/ /g; $value =~ s/[T|t][O|o]\:/_TO_/g;
if (($value =~ /multipart/i)&&($value =~ /mixed/i)) { exit; }; | |
Sehr beliebt sind auch Scripte, deren Zweck es ist, E-mails zu versenden, also z.B. Web-Mailformulare.
Hacker könnten nun nach einer E-mailadresse ein Zeilenende dranhägen dann "Cc:" und hunderte weiterer Mailadressen, und somit das Script um viele Zeilen Ihres Codes erweitern.
Dann versendet das Script Spam-Mails über Deinen Server ! Der erscheint dann nämlich auch als Absender, es wird viel u.U. teurer Traffic generiert etc.- Probleme,
mit denen wir hier selber schon zu kämpfen hatten ;o)
|
thematisch verwandte Links auf diesem Server:
|
|
|