用Delphi編寫CGI程序（五）

2019-11-18 18:49:01

字體：大中小

來源：轉載

供稿：網友

CGI 程序的功能是強大的, 但正是因為如此，如果您作為 CGI 開發人員或系統管理人員不注意編寫和設置 CGI 程序的話，將使您的系統千瘡百孔。本篇就 CGI的安全性問題做一討論。

3 、 CGI 的安全性

　　 CGI 程序的功能是強大的，它不僅可以具有普通程序的功能，而且可以將程序的結果發布在 WEB 上。但正是因為 CGI 程序的功能如此強大，如果您作為 CGI 開發人員或系統管理人員不注意編寫和設置 CGI 程序的話，將使您的系統千瘡百孔，讓一些非法用戶有機可乘。

　　這里所講到的安全性并不是 CGI 規范引起的，而是編程和系統設置不當引起的。 CGI 規范使用戶可以利用服務器的計算能力，是在服務器上的計算不當導致了系統的安全漏洞。下面我給出一個在 UNIX 系統上的一個 CGI 安全漏洞，這個漏洞是非常常見的。
# !/usr/local/bin/perl
# formmail.cgi

require "cgi.pl";

# Launch e-mail application "/bin/mail" with Subject: header from the "formname" field
open (MAIL, "|/bin/mail -s '".$input{"formname"}."' webweave");

# Add send "formcontents" field as the body of the message
PRint MAIL $input{"formcontents"};
close(MAIL);
exit(0);

　　在這個例子中， CGI 程序將表單的信息提交給 /bin/mail ，并發送到 webveave 服務器上去。在大多數情況下這個 CGI 程序可以正常完成任務，但此 CGI 程序未過濾用戶在 WEB 表單中輸入的信息，因此留下了安全隱患。當用戶或別有用心的人輸入了錯誤的數據可能導致系統錯誤或得到不應有的權限。

　　例如用戶在 WEB 表單的 "formname" 中填寫下面的內容：

　　 "ls /etc/passwd '[email protected] #'

　　在用戶的 WEB 瀏覽器中就會顯示出 /etc/passwd 的內容，若此 UNIX 系統的 passwd 文件沒有 shadow ，用戶就可以利用此內容，使用 crack jack 或 crack john 就可以試圖破解密碼！

　　前面已經提到， CGI 的安全是程序員和系統管理員都應負責的，下面我就分別講一講二者應注意的事：

　　系統管理員的工作：
　　 1 、與程序員合作，共享有關服務器安全的信息，同時互相檢查代碼，及時發現代碼中的安全問題。
　　 2 、使用好的服務器軟件，經常去服務器軟件的 WEB 站點了解最新的信息。
　　 3 、將服務器的用戶限制在特定的網絡主機上，使用服務器的安全管理功能、設置路由存取控制等。
　　 4 、對 CGI 功能進行限制，部分高級服務僅限于信任的用戶，將測試中的 CGI 程序的使用限制在開發人員中，只提供給用戶經過測試的 CGI 程序。
　　 5 、在使用其他人的 CGI 程序時，仔細檢查代碼。
　　 6 、將 CGI 程序的使用限制在受保護的環境中，服務器設置成非特權用戶訪問，并為 CGI 程序專門設立一個運行帳戶或組。
　　 7 、將運行 CGI 程序的服務器設置在防火墻外，這一點一定要注意， CGI 程序的服務器必須設置在防火墻外，如果設置在防火墻內，一旦非法用戶找到了 CGI 程序服務器的安全漏洞，他就可以控制在防火墻內的所有主機！
　　 8 、降低 CGI 程序的運行優先級，防治用戶惡意運行大量的 CGI 程序導致服務器過載。
　　 9 、訂閱有關網絡安全性的郵件，參加網絡安全性的新聞組。

　　 CGI 程序員的工作：
　　 1 、同系統管理員合作，了解系統的安全信息，相互檢查代碼。
　　 2 、使用可靠的庫程序，檢查庫程序的源代碼。
　　 3 、從 REMOTE_HOST 中得到客戶機名，將一些高級功能限制在受信任的客戶機。
　　 4 、如果 WEB 服務器提供 HTTP 口令確認，使用 HTTP 口令來限制訪問。
　　 5 、過濾用戶的輸入，去除非法的輸入數據。
　　 6 、限制輸入數據的大小，防止惡意用戶輸入大量數據使服務器過載。
　　 7 、避免傳遞用戶數據到其他應用程序，以免用戶調用命令解釋器或利用其他應用程序的安全漏洞。
　　 8 、發現了 CGI 程序的漏洞時，不要對任何人講，更不要在程序中注釋說明，您應該作的就是立刻修補漏洞。
　　 9 、學作攻擊者，找出 CGI 程序的安全漏洞。

上一篇：用Delphi編寫CGI程序（六）

下一篇：用Delphi編寫CGI程序（四）