概述Web编程的安全极其防护措施(主要针对PHP,PERL)[]

一,危险性产生的原因

1, Web程序上手容易,简单培训就可以写,写出来的程序自然水平参差不齐。

2,好多人没有安全意识,你和他谈“SQL 注入”,根本不知道是什么概念。

3,好多HTTP Scaner的出现,一下子就会自动扫描大批的网站。

4,相信用户的输入,比如又一个name的inputbox,就单纯的以为用户只是会输入login.

二,File System Problem

1, ../的问题,比如 /usr/local/../../etc/passwd 就是 /etc/passwd, 如果轻信用户的输入,hacker就可以看到它不应该看到的文件。

比如: open( "/var/conf/$usr" )

$usr="james"; open( "/var/conf/james" );

but $usr="../../etc/passwd", open就成了 open("/var/conf/../../etc/passwd" ) 问题就出来了。

2,OS处理null的问题,有的OS碰到null就结束,有的则不同。看下面的例子。

open( "/var/conf/{$usr}.ini" )

看起来这个不会出现上面的问题了,我们换的输入。

$usr="james", OK,什么问题也没有。

$usr="../../etc/passwd", OK, open("/var/conf/../../etc/passwd.ini"),OK,也没有问题。

$usr="../../etc/passwd\0", 问题就有可能出来了,看看open("/var/conf/../../etc/passwd\0.ini");

3, PHP中的fopen()的问题

比如,你用fopen("$usr/config.ini" )来打开一个用户配置文件,根据这个文件分配权限。

$usr = "james"; fopen( "james/config.ini" ) OK,不错。

但是, $usr= "http://www.hacker.org", fopen后是什么? fopen(http://www.hacker.org/config.ini),嘿嘿。

4, Perl中的命名管道.

open(IN, "$usr/config.ini" )

$usr=">james", open就成了 open(IN, ">james/config.ini" ), 看明白了吧。

三, Sql 注入

比如这个Sql 语句,SELECT * FROM Users WHERE user='$uid' AND passwd='$password'

看起来$uid=name, $password=passowrd,一切很好。

如果$uid=james'-- $password=1 (Sql Server中的注释,Mysql 中用# )看看成什么了。

SELECT *FROM Users WHERE user='james'-- AND password='1' 到这里估计都明白了,1=1就自己凑吧。

如何Administrator用sa等权限高的用户,直接就执行 xp_cmdshell, 然后调用net里面的命令直接就可以给系统添加用户了。这个攻击性太高,就不说了。这里只是说有这个东西,具体的用"SQL注入"自己google吧。

四,程序执行

假设你向用nslookup来看一个www.yahoo.com,程序这样

$host=www.yahoo.com;

system("nslookup $host" ),这样不错。但是 $host=www.yahoo.com;cat /etc/passwd,明白的一眼就看出来了吧。

Perl里面的 system, exec, ``, open, PHP里面的fopen, popon 都有这个问题。

五, HTTP协议和Client本身的弱点。

1,比如你搞了一个永不过期的COOKIE,别人就可以轻而易举的用这个cookie来通过一些东西了。

2,轻信HTTP Header里面的任何东西,都是致命的。以前看到有人问,如何避免站内提交,答案是REFERER,其不知稍微有的Socket编程的人,自己构造一个HEADER送到你的FORM里面是轻而易举的事情。

3,构造HTTP Form, 连checkbox, radio也不要相信,给这写东西赋值太简单了。

4,Client乱加Javascript,我记得博客园就有过谁新改标题,导致博客园首页不显示的问题。

5,HTTP明文传输,很多时候密码会被拦截,所以向Yahoo那样,把密码在客户端加密一下,然后再传会好一些。

六,解决方法

1,基本原则,不要相信如何输入的东西,所有输入的东西都check一下。怎么check,不说了。

2,找Scaner自己scan一下你写的程序,看看那些已经存在的问题你有没有。

你可能感兴趣的:(perl)