CGI的安全(一)

目次：  1. 基础的安定题目    1-1. 操纵体例    1-2. 巩固效劳器的安定    1-2-1.你该当在什么场合安置你的cgi步调?    1-2-2.ssi(server-side includes)    1-2-3.巩固你的unix效劳器的安定    1-2-4.例子：安定的摆设ncsa效劳器  2.写出安定的cgi步调    2-1.谈话的危害性    2-2.shell伤害性  3.安定处置    3-1.ssl    3-2.shttp  4.大纲    即使你往日从未编写过运用于搜集的软硬件，那么安定题目大概是你在编制程序时最不提防的了。究竟，在单机上，你没有需要担忧写了不安定的步调，由于,大约也只能有一部分不妨逼近那台计划机。    然而，在编写运用于internet的软硬件中须要特殊夸大安定题目。有一个挺老的计划机格言说："使一台计划机真实安定的独一本领是将它与寰球割断贯穿并把计划机放到紧锁的屋子里。"看来，将计划机和一个搜集大略贯串就会贬低你的计划机的安定性。    对于越大的贯串的搜集这句话越实用，比方internet,这边有不计其数的人大概会考察你的计划机。很多鉴于internet的效劳，更加是www,别安排成能使其余人很简单的从你的计划机中获守信息。那些你承诺接收考察的效劳（大概是蓄意的，大概是偶尔的）都有大概变成足智多谋、心胸歹意的人的报复道路。一个很蹩脚的搜集效劳器很简单被攻破，以至潜伏给出了不妨考察你的所有计划机和要害数据的权力。    我说你供给的每一项搜集就象加入你体例中另一个门，是指什么呢？什么才是安定妨害呢？尽管是什么手段，安定妨害是指一部分从你的计划机中赢得了一经受权的考察权。"unauthorized access"(一经受权的考察权)也不妨领会为很多工作，试图从效劳器上运转一个非大众的步调，以至是赢得在unix中赢得root权力。    你过多的依附于为搜集效劳器编写安定步调的步调员的常识和经心。究竟，没有人巴望你精细查看几千行的源码只为了弄领会软硬件能否有安定缺点；大普遍情景，你依附编制程序者的真实性和其余审查源码和提防的扶助尝试软硬件的大师。假设网虫们证领会你不许实足断定那些步调员不妨写出完备的安定的代码，那么你不妨采用办法最大控制的缩小危害。    在反面的"养护你的web效劳器",你将进修web效劳器的安定。暂时，假设你的运用于web效劳器的软硬件是安定的，而且精确的摆设了；也即是说，没有人不妨只是经过你的web效劳器从你的呆板中赢得一经受权的权力。干什么写安定的cgi剧本很要害呢？cgi是一个承诺你拓展web效劳器的普遍和议。经过编写cgi步调，你不妨减少web效劳器的功效。那些功效很大概偶尔中引入新的安定缺点。一个蹩脚的cgi运用步调很大概承诺任何人具有你的呆板的实足的权力。    用户提交一个表单大概是以另一种办法考察cgi剧本的功夫，实质上去说，是你承诺她们长途运转你的效劳器中的运用步调。由于很多的cgi运用步调接收用户的表单输出（或经过填写表，或是经过吩咐行），从另一个观点来说，你承诺用户遏制cgi步调的运转。动作cgi步调的作家，你须要决定你的cgi剧本只能用来实行它指定的功效。这一章提到了关系的web安定题目，供给了编写安定的cgi步调的深刻的材料。在本章的结果，你也会学会还好吗安定的编写cgi。  1. 基础的安定题目    你的web效劳器的所有的安定性在于于很多成分。即使你的web效劳器没有精确摆设大概体例有其它缺点的话，那么一个安定的cgi步调也是毫无用途的。这边，我阐明少许关系的web安定题目，并证明怎样为cgi步调精确的摆设你的web效劳器。  1-1. 操纵体例    一个常常的题目是怎么办的平台对web效劳器来说更安定？运转system 7的macintosh,unix的处事站，运转os/2或linux的pc之类。在这个题目上有过很多商量，那些反应了人们对各别的操纵体例的各别的偏幸。    没有一个操纵体例比其余一个鲜明安定。unix被觉得比单用户的平台（比方acintosh大概是运转着windows的pc）更安定，由于已经有人攻破过少许运转着后者(注：括号中)的呆板，并具有了一切文献的权力。但是对于unix，有一个对于文献属主和权力的基础的领会。即使你的效劳器精确的摆设了,并被一个安定的用户（比方：非root用户）具有，这功夫，即使一经受权的用户闯进入，他（她）只能形成有限的妨害。但是，有限的妨害仍旧够蹩脚了，在此后的章节的例子中你会领会。    另一上面，由于unix常常要摆设很多各别典型的搜集效劳，比方mail,ftp,gopher,www之类,所以，有更多的潜伏的“方便之门”。巩固那些效劳的安定性是一个耗费时间的进程，以至对有体味的体例处置员亦如许。纵然你每项摆设精确精确，但是在每个独立的软硬件包里仍有大概展示恼人的bug。安定缺点在百般软硬件包中并不是常见的，从少许构造（比方cert(the computer emergency responseteam))的相关百般的unix搜集效劳周期性的报告中咱们不妨领会的领会到。    每一个各别的平台都有其各别的安定含意，然而不许相互比拟安定性。纵然你该当提防每个操纵体例的安定性，然而这不该当变成你采用平台的重要规范。采用你的平台，矫正相关该平台关系的安定缺点，而后安定精确的摆设你的web效劳器。在你完实足全的实行那些办法之后，你才该当将你的精神加入到编写安定的cgi剧本中去。  1-2. 养护你的效劳器    编写安定的cgi剧本的第一步要决定你安定并精确的摆设了你的web效劳器。即使你的web效劳器并不真实，那纵然你再提防编写你的cgi剧本也是没有效的,人们仍旧不妨闯入你的计划机。并且，精确的摆设你的web效劳器不妨减小蹩脚的cgi步调所带来的大概的妨害。  more:采用一个安定的web效劳器    在各别的平台罕见不清的web效劳器可供运用。即使大概的话，自我决定一个产物能否安定是很艰巨的，你将不得不依附公司的光荣和表面许诺。    查看你的采用。在你具有了一个web效劳器的列表之后，看一下每个产物的灵验期以及暂时有几何人运用它。越老的而且常常运用的web效劳器，相关的安定上面的bug越有大概被创造并补缀。即使源码是盛开的，而且你有功夫和特意本领，本人自始至终看一下源文献，看看是否找到潜伏的缺点。观赏搜集中各别的消息组对该产物以及作家和刊行人的指摘。驰名的公司或作家会很快的报告用户其产物的任何题目。观赏各个构造（如ciac(computer incident advisorycapability)和cert)相关安定上面的劝告消息。    查看一切的效劳器组件并决定你能否真的须要一切组件的个性。越搀杂、功效越宏大的效劳器，越有大概生存未被创造的安定题目。决定你的效劳器扶助日记功效，如许你不妨盯梢安定题目或其它妨碍的因为。    有一个周旋不料事变的安置。即使创造安定缺点，要随时筹备晋级大概替代你的web效劳器。关心新本子的刊行和消息组中相关你的web效劳器的消息。尽管运用web效劳器最新的非尝试的本子。    不用担忧免费的效劳器。对于开拓源码使效劳器更安定大概差异有商量。即使效劳器的源码不公然，安定缺点将更难创造。即使源码公然，那么，表面上，缺点将很快被创造，公然并获得补缀。  在巩固效劳器的安定性时，该当有三个手段：  a.摆设你的步调使它只能供给你指定的效劳。  b.不到需要的功夫不表露任何消息。  c.即使体例受到侵犯，最大控制地缩小破坏。    我领会的相关你的计划机的消息越多，我就越有时机闯入你的计划机。比方，即使我领会哪个目次大概文献夹保存了你的一切的敏锐的、独占的消息，如许，我将加入你的体例获得十足考察权减少至不过赢得某个目次的权力（常常是更简单了）。大概，即使我不妨考察你的效劳器摆设文献或源码大概是你的cgi剧本，那我不妨很简单的欣赏它们来探求安定缺点。即使你的体例有缺点，你不想让旁人简单领会，你必需在旁人之前创造它们。  1-2-1.你该当在什么场合安置你的cgi步调?    很多效劳器承诺你经过百般各别道路来运转cgi步调。比方，你不妨指定一个一定的目次动作你的cgi-bin。大概，你不妨承诺cgi寄存在任何目次下。    这两种本领都有优缺陷，然而从安定的观点来说，在一个指定的目次中安置你的一切的cgi运用步调更好。把一切的步调放到同一个目次使你很简单盯梢你效劳器器一切的运用步调并查看它们的安定缺点,同声，还不妨提防被歹意窜改。   即使你目标于运用刻画型的谈话(比方perl)来编写你的大局部的运用步调，那么源码被包括在步调自己中。即使你不提防的话，那些代码很简单被观赏，以至被运用。比方，很多文本编纂器存贮存份的文献，常常在文献名的反面加一个扩充名（比方.bak）。   举个例子，emacs运用扩充文献名~存贮存份文献。假如你运用perl编写了一个cgi剧本——program.cgi——保存在web的数据目次而非重心的指定的目次中。此刻，假如你运用emacs对步调做了少许烦琐的窜改而忘怀了简略备份文献。此刻，在你的目次里有了两个文献：program.cgi和program.cgi~。web效劳器领会以.cgi结果的文献是cgi步调,它会运转这个步调而不是表露它的实质.但是,聪慧的用户大概试验考察program.cgi~.由于它不是以.cgi结果,你的web效劳器将它以原始的文本文献发送出去,如许就承诺用户察看你的源代码来搜罗大概的缺点.这违犯了制止表露不需要消息的规则.    固然,即使你的效劳器承诺你指定坐落某一一定的目次下的文献均为cgi,那么这个文献的扩充名是什么也就可有可无了.如许,在前方的例子中,即使备份文献放在如许一定的目次里,当用户试图考察它时,效劳器就会运转这个步调而不是发送源代码.    提防到在你的效劳器中指定一个重心目次动作cgi步调的寄存场所是有控制的,更加是在多用户体例中.比方,即使你是一个isp(internet service provider)而且你想让你的的用户不妨编写并运转他本人的cgi步调,你大概蓄意承诺cgi步调不妨寄存在任何的目次中.做这个之前,刻意商量一下可替代的选项.你的存户们安排写很多的一定的天性化的剧本吗?即使不是,最佳是让你的存户将他的cgi剧本提交给你,而后由你将其增添到cgi-bin目次中,而不要承诺cgi可在任何目次中灵验.    对于cgi步调的场所其余一个题目是将证明器放在何处.证明剧本时,效劳器运转证明器,由它程序承载剧本并实行.    不要将证明器放到你的cgi-bin目次中,或其余相关你的数据构造的任何目次中.给了用户考察证明器的权力实质上即是给了她们运转你的体例中任何步调或吩咐的权利.    即使你运用windows或其余的非unix操纵体例,这更加要害.在unix体例中,你不妨在剧本的第一条龙中指定证明器.比方:    #!/usr/local/bin/perl    # this first line says use perl to run the following script    在windows中,举个例子,没有一致在剧本中指定证明器的本领.一个挪用perl剧本的本领是创造一个批处置文献来挪用perl和剧本:    rem progname.bat    rem a wrapper for my perl script, progname.pl    c:\perl\perl.exe progname.pl    但是,你大概目标于制止创造特殊的步调,不过大略的将perl.exe放在你的cgi-bin  目次中,并考察如次的url:    http://hostname/cgi-bin/perl.exe?progname.pl [page_break]这也行,然而如许也承诺了搜集上的任何一部分运转你呆板中的perl吩咐.比方,不妨考察如次的url:    http://hostname/cgi-bin/perl.exe?-e+unlink+%3c*.*%3e%3    过程解码,其十分于挪用perl并运转底下的一路途序,这路途序将简略暂时目次的一切文献.明显,这是咱们不想的.    unlink <*.*>;    你长久没有来由将证明器放入你的cgi-bin目次中(大概其余不妨运转cgi的目次),以是万万不要这么做.少许windows效劳器不妨按照其扩充名辩别剧本的典型并运转相映的证明器.比方,win-httpd觉得每一个以.pl结果的cgi剧本是perl剧本,并机动运转perl.即使你的web效劳器没有这个个性,就像这章第一个windows perl例子那么运用包装的剧本.more:我该当运用一个证明器吗?    即使你运用一个unix大概是macintosh的web效劳器的话,记取长久不要浮夸将一个证明器放到你的cgi-bin中.前方咱们提到过,unix承诺你指定一定的场所给包括剧本的证明器.为了在macintosh中使那些剧本灵验,你不妨运用一个运用步调如resedit编纂代码将剧本与调用的证明器贯串.  1-2-2.ssi(server-side includes)    在第四章中，你仍旧领会了该当制止效劳器嵌入训令的因为。一个常常提出的普遍因为是安定性。很明显，少许效劳器嵌入训令(更加是ncsa和netsape)的实行会承诺用户将步调输出包括到html文献中。历次当那些html文献被考察时，在效劳器端步调会运转并将输入动作html文献的一局部表露出来。    承诺这种效劳器的嵌入训令，你就很简单遭到少许安定危害的感化。开始，在unix的计划机中，步调由效劳器的一切者运转，而不是步调的一切者。即使你的效劳器没有精确摆设，而且将要害的文献或步调交给效劳器的一切者，那些文献和步调以及它们的输入有大概被你的计划机的用户所考察。    当你承诺用户经过欣赏器窜改你体例中的html文献时，这种危害就增大了。一个常常的例子是留言本。在留言本中，用户填写表单并把消息提交到cgi步调中，步调普遍是将未编纂的消息附加到一个html文献中。即使不编纂或过滤提交的消息，你就承诺了用户从他或她的欣赏器中提交html代码。即使你承诺步调在效劳器端嵌入实行，不怀好心的用户就不妨经过提交如次的附加代码给你的呆板形成妨害:       这个效劳器嵌入训令将试图尽大概地简略你的呆板中的一切实质。    你不妨经过很多本领制止这个题目，而不须要实足封闭效劳器嵌入。你不妨在将提交的文本附加到你的留言本之前过滤一切的html附加代码。大概你不妨遏止你的效劳器嵌入中的exec的功效(在这章反面的"巩固你的unix效劳器的安定"中我将演练在ncsa效劳器中怎样做)。    即使你忘怀了个中的任何一条,其余的少许防备办法同样不妨很大水平上减因这种附加代码形成的妨害.比方,只有你的效劳器以不生存的用户,非root的身份运转,这个附加代码不会简略任何要害的货色,大概什么也不会抛弃.假如不还 好心者不是试图简略你的磁盘上的一切货色,而是运用如次的代码获得你的 etc/passwd动作破译之用:       固然,即使你的体例运用的是shadow型的passwd档,那么你的/etc/passwd对湮没的hacker来说毫无用途.    这个例子论据了常常的效劳器端嵌入训令和cgi中两个很要害的题目.开始,安定缺点不妨被实足湮没.谁会想到一个大略的运用ssi编写的留言本步调不妨展现如许之大的安定危害?其次,一个安定缺点的潜伏的妨害不妨经过精确摆设你的效劳器和巩固你的体例安定来贬低到最小.  1-2-3.巩固你的unix效劳器的安定    一个安定的unix体例对于web文献效劳来说是个特殊特出的平台。但是，在巩固效劳器安定和精确摆设unix的web效劳器的进程中伴跟着很多搀杂的题目。你该当做的第一件事即是决定你的呆板仍旧尽大概的安定了。    将你不须要的搜集效劳关掉，尽管对你而言她们是如许没无益处。任何人偶然能运用finger和议侵占你的体例，举个例子，它供给了少许用户的消息，但是，finger不妨供给给hacker对于你的体例的有效的消息。    巩固你的体例的里面安定。即使hacker想法破译了一个用户帐号，要决定这个hacker不会赢得特殊的权力。安定shadow型的password文献和去除设定用户权力的剧本(剧本以一切者的身份运转，纵然是由其余用户挪用时）是很有效的。    巩固unix呆板的安定是一个搀杂的课题，胜过了该书的范畴。我激烈倡导你购置一本这上面的书，观赏internet上这上面的资源，即使有需要的话，以至不妨雇用一个接洽参谋。不要低估巩固你的呆板安定的要害性。    其余，调配分隔的空间给你的web效劳器和文献。你的文献目次的用处是将那些文献供给给其余人运用，大概是所有internet,所以你不要将你旁人领会的任何货色放到那些目次里。你的效劳器目次包括要害的日记和摆设消息，而且你要尽大概的不要让你的里面用户看到或窜改它。    要聪明的树立你的目次和效劳器的一切权和运用权。为web关系的目次创造一 新的用户和组是常常的一个本领。决定非特权用户不许变动效劳器或文献目次。    你的效劳器万万不要以root身份运转(running as root)。在unix体例中，惟有root不妨考察小于1234的端口。由于缺省的web效劳器运转于端口80,你须要是root来启用一个web效劳器。但是，在一个web效劳器以root身份运转此后，它不妨窜改自己过程的一切权，大概变换它用以贯穿的子过程的一切权。个中任何一种本领都须要效劳器以非root身份运转。决定摆设你的web效劳器使其以非root身份运转，最佳是以一个实足不生存的用户如nobody。如许，即使在你的web效劳器或cgi步调中有缺点时，它不妨贬低潜伏的妨害。    遏止一切你不须要的效劳器个性。即使你发端遏止了一个个性，尔后来又确定运用它时，你老是不妨将其改回顾的。像ssi和ssl都是你大概须要遏止的。    即使你的用户不须要经过你的效劳器将她们部分的web文献用来效劳，就须要使web目次失效。如许一来，你就不妨实足地遏制你的呆板顶用于效劳的一切文献，这对于常常的保护和安定是很要害的。    即使你的用户须要将她们部分文献用来效劳（比方，即使你是一个iap(internetaccess provider),坚信她们不许胜过你的主范畴。刻意商量一下用户能否须要在她们的部分目次里运转cgi步调的权利。前方咱们仍旧提到，最佳将一切的cgi放到一个会合的场所。  --------------------------------------------------------------------  cgiwrap:    在web上一个时髦的软硬件包是cgiwrap,由nathan neulinger(nneul@umr.edu)编写。这个软硬件包承诺用户动作步调的具有者运转她们本人的cgi步调，而不是动作效劳器的一切者。    不领会只是承诺一切人运转她们本人的未包装的cgi步调是更否更有益。一上面，一个蹩脚的cgi剧本由nobody具有比起由一个本质生存的用户具有来说，前者大概形成的妨害更小。另一上面，即使cgi步调以nobody运转对体例形成了妨害，那么负担在乎体例处置员，差异，即使不过一个一定的用户文献被妨害了，那么负担终将是用户的。    我的倡导是不要付与用户运转部分cgi的权利，即使如许不大概，那么你最后运用cgiwrap仍旧一个大略的步调在于于你想负担出在何处。  ---------------------------------------------------------------------    结果，你大概须要商量你的web文献创造一个chroot情况。在unix体例中，你不妨经过运用chroot来养护目次。当server运转在一个chroot的目次中时，它看得见这个目次除外的任何货色。在一个chroot情况中，即使有人想侵占你的web效劳器，她们只会妨害这个目次里的文献。    提防，一个chroot情况仅实用于当web效劳器供给独立的文献资源。即使你的web效劳器将用来效劳的用户文献寄存在多个目次中时，想创造一个灵验的chroot情况简直是不大概的。其余，证明器(比方perl大概一个shell)的生存也会贬低chroot情况的本能。在一个没有任何shell妥协释器的chroot情况中，侵占体例的人最坏情景下能变换和妨害你的文献，即使生存证明器，潜伏的妨害会飞腾。  1-2-4.例子：安定的摆设ncsa效劳器    我将经过计划ncsa效劳器(v1.4.2)来论据还好吗发端精确地摆设unix情况下的通用的web效劳器。有很多web效劳器不妨运转在unix体例下，ncsa是最早的效劳器之一，被普遍运用而且属于自在软硬件，并且十分简单摆设。我仅证明我觉得对web效劳器安定上面相关的摆设；想赢得相关摆设ncsa httpd更多精细的证明，请参照它的站点：    http://hoohoo.ncsa.uiuc.edu/  你不妨将这边证明的规则运用到简直一切的unix web效劳器中。    开始，我须要表白我的目的。在这个计划中，我想将ncsa效劳器架设在一个很小的名为mycompany的isp的安定的unix呆板上。这台呆板的域名为www.mycompany.net。我须要我的呆板中的每一个具有帐号的人不妨将他或她的web文献用来效劳并不妨运用cgi或其余的个性。    我一致该当须要什么个性呢？这边，由于我是一个很小的isp,我不许让用户自即将其cgi用来效劳。即使她们想写出并运用她们本人的cgi步调，她们必需将其提交给我来查看；即使cgi步调没题目，我就安置它。其余，我要供给少许常常须要的普遍的步调，比方留言本和各类表单处置的运用步调。此刻，这个计划里我不须要其余任何的个性了，囊括效劳器嵌入训令。    咱们来看一下我将怎样摆设我的web效劳器。我将创造用户和www组；那些将具有一切适合的目次。我将创造一个目次来寄存我的效劳器文献  (/usr/local/etc/httpd/)和寄存web文献的目次(/usr/local/etc/httpd/htdocs/)。一切那些目次对寰球是可读的对所创造的用户和组是可写的。    此刻，我将要摆设效劳器。ncsa httpd有三个摆设文献：access.conf,httpd.conf  和srm.conf。开始，你须要报告httpd你的server和html的目次地方。在httpd.conf  中，以如次一条龙来指定server的目次:    serverroot /usr/local/etc/httpd    在srm.conf中，如许指定文献目次：    documentroot /usr/local/etc/httpd/htdocs    由于我想指定在/usr/local/etc/httpd/cgi-bin目次中的一切文献为cgi步调，在srm.conf中包括如次一条龙：    scriptalias /cgi-bin/ /usr/local/etc/httpd/cgi-bin    提防我的cgi-bin目次的本质场所在我的效劳器目次而不是文献目次。由于我想要使我的效劳器目次(囊括包括cgi的目次)尽管为独占,我将它放到文献目次除外。即使你在该目次中有一个名为mail.cgi的cgi,我不妨经过如次的url考察它:    http://www.mycompany.net/cgi-bin/mail.cgi    在srm.conf中须要编纂另一条龙；它对咱们探求一定的效劳器安定不是更加相关系，然而为了完全的安定，我仍旧要提到它:    alias /icons/ /usr/local/etc/httpd/icons    这个alias训令承诺咱们为你的文献目次树里面或除外的目次指定一个别号。与scriptalias训令各别，alias并不变换目次的含意。    由于我须要遏止效劳器嵌入训令，并不承诺cgi在cgi-bin觉得的目次运转，在srm.conf中我经过行家首插入一个英镑标记(#)解释掉几行:    #addtype text/x-server-parsed-html.shtml    #addtype application/x-httpd-cgi.cgi    addtype不妨扶助你在mime典型和文献扩充名间创造关系。text/x-server-parsed-html对parsed html来说是mime典型，application/x-httpd-cgi则是cgi运用步调典型。这边，我不须要为这种mime典型指定扩充名，由于在摆设效劳器的功夫，咱们忽视cgi-bin中的一切文献扩充名，一致被视为cgi。    结果，我须要经过编纂全部的access.conf文献来树立某些目次的属性和考察权力。为了为一切的目次设置全部的参数，只是将没有任何情况标志的训令放到文献中。为了为一定的目次指定参数，在directoryname是目次的全路途时,经过来包括训令。