CGI教学:CGI安全问题(七)

3 里面妨害 到暂时为止，只是商量了经过web例览站点的人——从几千里除外——大概带来的潜伏的安定伤害。但本质上还生存另一种离得更近的伤害成分。 在cgi安定题目上常犯的一种缺点是忘怀了当地用户。纵然经过web欣赏站点的人不感化当地安定，如文献养护和一切者，但web效劳器的当地用户却能如许，必需做出更多全力提防那些侵犯。大局部多用户体例上，如unix，web效劳器是动作一个步调运转的，而呆板仍被很多人运用做着很多工作。只是由于为或人与本人一道处事或考察本人的学并不表示着他能制止住迷惑，而不去捣鼓web安置进而惹起题目。 3.1 cgi剧本用户 大局部web效劳器是动作运转cgi剧本的特出用户而安置的。这是在cgi步调运转时具有该cgi步调的用户，而且他所具有的权力能控制该脚天性做什么工作。 在unix下，效劳器本人也是动作root(体例的超等用户或处置员)运转的，并承诺它运用端口80动作欣赏器与之通讯的场合(惟有root能运用那些被称为"保持的"端口0到1023;一切用户都不妨运用其他的端口)。当效劳器实行cgi步调时，大局部web效劳器都能树立为以其余一个用户而不是web效劳器自己来运转该步调——纵然不是一切效劳器都能这么做。 将cgi剧本动作root运转是很伤害的！效劳器应被设为运用一个普遍用户，如常用的nobody来运转cgi剧本。用户权力越小，运转的cgi脚天性形成的妨害就越小。 3.2 setuid 伤害 编制程序者还应领会本人的unix cgi剧本中能否树立setuid位。即使对某个可实行文献承诺该选项，将能使该步调与具有该文献的用户有同样权力，而不是实行它的用户。即使本人的cgi剧本上树立setuid位，不管效劳器动作什么用户来运转它，它的权力都同等于该文献的具有者。这固然有很大的心腹之患--大概会对以其权力运转剧本的用户遗失遏制。倒霉的是setuid位很简单被遏止。对一切cgi剧本实行chmod a-s即能封闭一切的setuid，步调即能以承诺的权力运转。 固然，在某些情景下大概蓄意树立setuid位--比方即使剧本须要以特出用户身份来运转以考察一个数据库。在这种情景下，必需更加提防保证该步调的其余文献养护能将不妨考察它的用户控制在承诺范畴内。 3.3 "community" web效劳器 纵然web效劳器以一个常用的用户来实行剧本，仍有一个潜伏的题目，那即是一部分并不老是能遏制效劳器。即使很多人共通遏制效劳器，每部分都不妨将cgi剧本安假装为nobody用户来运转。这就使那些人的任何一个都不妨运用cgi步调考察她们向来不许考察的场合，而那些场合是nobody承诺加入的。 大概潜伏的安定题目的处置方法是将cgi的遏制控制为一部分。在某些情景下纵然这犹如是有理的，但对较大站点却常常不太大概。比方，一个大学有几百个弟子，每个弟子都想试着去编写并安置cgi剧本。 3.4 运用cgi wrap 当有多个用户不妨考察cgi时，对于决定剧本以什么用户运转的题目的一个较好的处置方法是cgi wrap步调。cgi wrap，不妨在using cgi web站点中找到，是一个大略的包装，它以具有该文献的用户而不是效劳器指定的用户来运转cgi剧本。这种大略的提防办法使剧本具有者对它大概的妨害控制。 由于cgi wrap使得cgi剧本的作家控制她们本人的剧本权力，以是它不只是一个养护其余人具有的要害文献的有力的东西，并且是督促人们编写安定的剧本的有力的东西。惟有她们本人的文献会居于伤害之中，如许的实际对剧本作家会是极大的激动。 3.5 cgi剧本权力 还该当领会领会cgi剧本被哪个用户具有以及剧本自己的文献权力。包括剧本的目次的权力也特殊要害。 比方，即使web效劳器上的cgi-bin目次是一切人可写的，那任何当地用户将能简略cgi剧本并用另一个来包办。即使剧本自己是一切人可写的话，那么任何人将能窜改剧本实行任何工作。 请看底下这段无害的unix cgi剧本: #!/bin/sh #send the header echo"content-type:tex/html" echo"" #send some html echo "<html><header><title>fortune</1tle><header> echo "<body>your fortune:<hr><pre> forune echo"</body><himl>" 此刻，即使剧本上树立的权力承诺某个歹意的用户将步调变换如次: #!/bin/sh #send the header echo "content-type:text/html" echo"" #do some damage! rm-rf/ echo"<html><title>got you! <title><body>" echo"<h1>ha ha!<h1></body></html>" 那么下一个在web上考察该剧本的用户纵然他没做什么勾当也会引导洪量题目。在web上查看用户输出的完备性很要害，但更要害的是保护剧本自己未被窜改且不许被窜改。 3.6 当地文献安定 剧本在当地硬盘上创造的文献的完备性也同样要害。在获得web用户输出的一个有理的文献名之后，运用该文献名干什么也很要害。按照web效劳器运转的操纵体例，权力和具有者消息不妨与文献中的数据一道生存文献上。 比方，unix体例能记载文献考察权力，囊括创造该文献的用户的权力、同组用户的权力、以及体例其余人的权力。windows nt运用的是一个更搀杂考察遏制清单体例，但实行的功效大概沟通。按照那些标记如树立以及赋予或遏止什么权力，web效劳器呆板的用户也大概惹起烦恼。 比方，在创造一个文献时就应领会给它树立的权力。大局部web效劳器软硬件将umask或权力码设为0000，表示着不妨创造一个任何人可读写的文献。纵然文献上的权力树立对在web上欣赏的人大概没什么各别，但当地考察的用户却能运用不庄重的权力树立形成妨害。鉴于这种实际，该当尽大概庄重地控制文献权力。 保护每个翻开文献的挪用都有一个最小控制汇合的最大略的方法是树立剧本的umask。umask()是一个unix挪用，它能对每个后续的文献创造控制权力。umask()的参数是一个数字，用来对后续的文献创造的权力码举行樊篱。即使umask为0022，则尽管在翻开文献时给组用户和其余用户付与了什么显式的权力，都将引导创造的文献仅能被用户本人写。纵然仍旧树立了umask，创造文献时也该当显式指定权力。即使惟有cgi脚天性考察文献，那么惟有运转cgi步调的用户本领考察该文献——权力为0600。即使另一个步调须要考察该文献，不妨使该步调的具有者变成与cgi剧本同一组的用户，如许只需树立组用户权力——权力为0660。即使必需让一切人都能考察该文献，应使该文献只能读，不许写——权力为0644。 3.7 运用显式路途 结果，当地用户还不妨结果一种办法报复web效劳器——捉弄效劳器运转他写的一个外部步调，而不是运转在cgi剧本中指定的步调。底下是一个大略的步调，从unix的fortune吩咐不妨看出该欣赏者还比拟聪慧。 #!/bin/sh # send the header echo"conten_type:text/html" echo"" #send the fortune echo"<html><header><title>fortune</title></header><body>" echo "<you crack open the cookie and the fortune reads:<hr><pre>" fortune echo "</pre><body></html>" 该剧本看上去可一点没无益处。它不接受用户输出，以是用户不许籍此搞什么花招。由于它仅由web效劳器运转，以是剧本自己的权力树立不妨特殊庄重，不妨提防任何有计划的当地用户窜改它。即使对该剧本地方的目次也树立了精确的权力的话，看上去就没什么场合不妨出题目了，是否？ 固然再有题目。记取得要有点过火。 上述步调清缺乏用了外部步调，在本例中是echo和fortune。由于那些剧本没有效显式路途指明它们在硬盘上的场所，该shell即运用path情况变量来找到它们，从变量中的每一项搜索要实行的步调。这大概很伤害。比方，即使fortune步调安置在/usr/games中，但path中在它之前线出了/tmp，那么任何凑巧定名为"fortune"并坐落偶尔目次的步调城市被实行，而不是真实的fortune。 该步调不妨做它的创造者想做的任何工作，不妨简略文献，也不妨备案相关乞求消息并将数据传给真实的fortune——运用户和编制程序者谁也不聪慧。在cgi剧本中运转外部步调时确定要指定显式的路途。path情况变量有很大效率，但它与其余变量一律也能被不法运用。