Thread CGI Sicherheit: Vermeidung gefährlicher Inhalte
(165 answers)
Opened by Gast at 2005-12-12 17:10
Also was ich mache (und das meiste wurde hier durchaus schon genannt):
traue keiner Benutzereingabe Das heisst: Öffnen einer Datei (wurde schon gesagt): Öffne keine Datei, deren Dateiname vom User kommt oder überprüfe den Dateinamen auf "unerlaubte Zeichen" (Pipe,\0,...). Was erlaubt ist hängt ganz von Dir und Deinen Zielen ab. Deswegen kann hier keiner eine Angabe dazu machen. Taint-Modus (wurde schon gesagt): Lasse die CGI-Skripte im Taint-Modus laufen SQL: Benutze die ?-Notation (siehe DBI-Doku) benutze kein (String-)eval (wurde schon gesagt) benutze die Usereingaben nur als HTML-Ausgabe (wurde indirekt schon gesagt) Wie Du siehst, ist das wichtigste schon gesagt worden... OTRS-Erweiterungen (http://feature-addons.de/)
Frankfurt Perlmongers (http://frankfurt.pm/) -- Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html Perl-Entwicklung: http://perl-services.de/ |