cgi教学-cgi安全问题(二)--

《cgi教学-cgi安全问题(二)--》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、CGI教学:CGI安全问题(二)>>2.谁也不信几乎所有的CGI安全问题都来自与用户的交互。接收来自外部数据源的输入之后一个简单的、可预见的CGI程序突然向多方向伸展，每个方面都可能有最小的缝隙使得“黑客”可以溜进来。正是与用户的这种交互——通过表单或文件路径——才给予了CGI脚本这种能力，但同时也使得它们成了运行在L表单的后台运行的，负责处理由用户输入的信息并提供某种定制的输出。因为在这种情况下，大部分CGI脚本编写时都等待某种特殊格式的数据。它们期望用户的输入能匹配收集并发送信息的表单。不过事情并不总是这样。用户可以有许多种办法绕过这些预定义的格式而给脚本发

2、送一些看起来是随机的数据。CGI程序必须对此有所准备。其次，用户可以给CGI脚本发送所期望的数据类型，按预期的形式在表单中填入每个字段。这种类型的提交可以是想像中的来自某个与站点交互的无意的用户，也可能来自某个恶意的“黑客”，凭借他有关操作系统和AXLENGTH字段允许的长度。3)字段本身的名字可能与表单中指定的不相符。2.3不合理数据的因—些无意的或是有意的原因，导致自己的脚本接收到不知道如何去处理的数据，有可能导致非预期的——同时很危险的——行为。下面的代码实现了一种表单并向某个搜索yahoo！数据库的CGI脚本送垃圾。该脚本设计得很好并且很安全，因为它忽略

3、了不认识的输入。<FORMMETHOD="POST"ACTION="bin/search">Enteryourname，firstthenlast:<INPUTTYPE="TEXT"NAME="first"><INPUTTYPE="TEXT"NAME="last"></FORM也许用户碰巧(或者意识地)将URL编辑为这个CGI脚本。当浏览器向CGI程序提交数据时，要简单地将输入表单中的数据连到CGI的URL上(用于GETMETHODS)，就像用户可以很容易地将ES和VALUES。如果愿意的话，可以自由地编辑Locatio

4、n字段的内容并按自己的意愿修改数据:增加表单中没有的字段，扩展由MAXLENGTH选项限制的文本数据，或者几乎任何对象。以下显示了某CGI脚本预期从表单中提交的URL。cgi-bin?pg=qp;imt=q=%22An+Entirely+Other%22用户可以修改同一URL，CGI脚本仍被调用，但现在接收的是非预期的数据。为了保证安全，该脚本应该在编写时就设计为能将这种输入识别为不被要求的数据并加以拒绝。最后，某个有野心的"黑客"也许会写一个程序连到Web上的服务器并假装是一个Web浏览器。该程序可能做一些任何一个真正的ETHOD读取数据，那怎么办？它有可能会

5、崩溃，也许允许那个崩溃了系统的人访问系统。>>>>这篇文章来自..，。