Sicherheit von @ARGV (Perl/CGI) - Perl-Community.de

Start · Board · Webprogrammierung mit Perl · Perl/CGI

2025-11-05 05:58:12
Europe/Berlin
Einloggen (Registrieren)
- Einstellungen
- Statistics
Jemand zu Hause?
0 Benutzer online
1 Gast

[thread]20725[/thread]

submit to reddit

Sicherheit von @ARGV

Tags: perl5 CGI @ARGV Webserver Aufrufparametern Ähnliche Threads

Leser: 16

Articles: hide open all | hide show old branches

+44 replies
bianca

2020-01-15 18:01

User since
2009-09-13
7016 Artikel
BenutzerIn

Hi und Hallo!

Wie groß ist die Sicherheit, dass ein Script welches mit Aufrufparametern gestartet wurde nicht vom Webserver gestartet wurde?
Anders rum: wie groß ist das Risiko, dass ein Webserver dem Script etwas in @ARGV übergibt?

Ist das Thema irgend wo spezifiziert?
10 print "Hallo"
20 goto 10
- +29 replies
- haj
  
  2020-01-16 01:24
  
  User since
  2015-01-07
  592 Artikel
  BenutzerIn
  
  Das ist beim Webserver spezifiziert, wie er die Skripte startet. Bei Apache mit mod_cgi oder mod_cgid bleibt @ARGV leer. Bei persistenten Perl-Webanwendungen startet der Webserver gar keine Prozesse, die Details unterscheiden sich zwischen den Implementierungen: Mit FastCGI läuft die Anwendung in einem eigenen Server, an die der Webserver die Requests über Sockets oder ähnliches weitergibt, bei Apache mit mod_perl oder PSGI sind Anwendung und Webserver das gleiche Ding.
  
  Aber "Sicherheit" ist da ein hohes Wort: Ein Programm, das vom Webserver aufgerufen wird, kann mit perlfunc system und ähnlichen Funktionen andere Skripte starten und dafür Parameter übergeben, die bei Perl-Skripten dann in @ARGV landen. Das ist bei Web-Interfaces, die über ein bestehendes CLI drübergestülpt werden, ein ganz gängiges Verfahren.
  
  Das übliche Verfahren, Prozesse als CGI-Prozesse "vom Webserver" zu erkennen, ist die Abfrage der Umgebungsvariablen GATEWAY_INTERFACE. Umgebungsvariablen bleiben ja erhalten, wenn die Anwendung ihrerseits Skripte startet. Aber auch hier hängt's vom Server ab: bei PSGI gibt es die Umgebungsvariable nicht.
  
  Wo liegt denn Dein Risiko / Problem?
  - +28 replies
  - bianca
    
    2020-01-16 08:06
    
    User since
    2009-09-13
    7016 Artikel
    BenutzerIn
    
    Danke haj!
    
    2020-01-16T00:24:51 haj
    Wo liegt denn Dein Risiko / Problem?
    
    Das Script unterscheidet anhand von @ARGV ob es vom Cron gestartet wurde.
    Und für eine einzige Besonderheit startet (fork()) es ein anderes mit @ARGV und übergibt über %ENV die @INC. Das ist nötig, weil es der Webserver sonst aufgrund seiner Laufzeit abschießen würde.
    
    Eigentlich beides keine Risiken und ist auch sozusagen nur im privaten Umfeld aber lieber einmal mehr gefragt als über etwas unüberlegtes zu stolpern.
    10 print "Hallo"
    20 goto 10
    - +27 replies
    - haj
      
      2020-01-17 09:19
      
      User since
      2015-01-07
      592 Artikel
      BenutzerIn
      
      2020-01-16T07:06:38 bianca
      Eigentlich beides keine Risiken und ist auch sozusagen nur im privaten Umfeld aber lieber einmal mehr gefragt als über etwas unüberlegtes zu stolpern.
      
      Für den Fall ist das vermutlich "gut genug". Ich würde vermutlich trotzdem eine der vom Webserver versorgten Umgebungsvariablen abfragen, denn die Logik "kein @ARGV => Web-Aufruf" erscheint mir etwas verquer. Oder den Cron-Aufruf als solchen kennzeichnen, indem Du im crontab-Eintrag etwas von Dir definiertes in @ARGV reinschreibst.
      
      Du kannst natürlich auch den Timeout-Wert des Webservers hochsetzen. Oder den Langläufer richtig "in den Hintergrund" schicken. In letzterem Fall hast Du allerdings für den Browser erst mal keine Response außer "Job gestartet" und brauchst eine zweite Funktion, um das Ergebnis abzuholen.
      - +26 replies
      - bianca
        
        2020-01-17 12:12
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        2020-01-17T08:19:41 haj
        denn die Logik "kein @ARGV => Web-Aufruf" erscheint mir etwas verquer.
        
        Anders herum habe ich es: @ARGV belegt = Cron Aufruf
        
        2020-01-17T08:19:41 haj
        für den Browser erst mal keine Response außer "Job gestartet" und brauchst eine zweite Funktion, um das Ergebnis abzuholen.
        
        Sind AJAX Requests.
        10 print "Hallo"
        20 goto 10
        
        haj
        
        2020-01-17 15:18
        
        User since
        2015-01-07
        592 Artikel
        BenutzerIn
        
        2020-01-17T11:12:23 bianca
        2020-01-17T08:19:41 haj
        denn die Logik "kein @ARGV => Web-Aufruf" erscheint mir etwas verquer.
        
        Anders herum habe ich es: @ARGV belegt = Cron Aufruf
        
        Das kann ja für Dein Programm auch genau richtig sein. Meine Gewohnheiten sind einfach anders: Da gibt es zwischen "Aufruf vom Webserver" und "Aufruf von Cron" immer die Variante "Aufruf von der Kommandozeile". Von der Kommandozeile nutze ich meine Skripten mal mit, mal ohne Parameter und will vielleicht auch Sachen nutzen, die weder für den Webserver noch für Cron adäquat sind, wie zum Beispiel Terminalsteuerzeichen oder interaktive Funktionen. Deswegen halte ich @ARGV für einen "Nebenkanal" und würde die Varianten lieber direkt identifizieren.
        
        +24 replies
        
        rosti
        
        2020-01-17 15:40
        
        User since
        2011-03-19
        3726 Artikel
        BenutzerIn
        
        Nun gerade bei AJAX Requests hast Du ja auch die Möglichkeit Custom Request Header zu senden und dessen Vorhandensein zu prüfen.
        
        Aber ich sehe hier eine grundsätzlich andere Geschichte: Ist es so daß Du Scripts hast die sowohl per CGI/1.1 als auch per CMDLine gleichermaßen aufgerufen werden!?
        
        MFG
        http://rolfrost.de/wallpaper.html
        
        WallPaper -- jeden Monat neu. Mit nur 2 Klicks den Aktuellen Monat auf dem Desktop.
        
        +23 replies
        
        rosti
        
        2020-01-19 10:47
        
        User since
        2011-03-19
        3726 Artikel
        BenutzerIn
        
        Warum ist dieser Thread als eledigt gekennzeichnet? Jetzt wirds doch erstmal so richtig interessant!
        
        MFG
        http://rolfrost.de/wallpaper.html
        
        WallPaper -- jeden Monat neu. Mit nur 2 Klicks den Aktuellen Monat auf dem Desktop.
        
        +22 replies
        
        GwenDragon
        
        2020-01-19 11:27
        
        User since
        2005-01-17
        14875 Artikel
        Admin1
        
        Ich hab das "Erledigt" mal ausgestellt.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +21 replies
        
        rosti
        
        2020-01-19 11:53
        
        User since
        2011-03-19
        3726 Artikel
        BenutzerIn
        
        Danke ;)
        
        Auch schön
        
        Code (perl): (dl )
        
        1 2 3
        
        my $classfile = $class; $classfile =~ s|::|/|g; require "$classfile.pm";
        
        daß sowas mit -T in der shebang nicht durchgeht. Wobei in $class eine Klasse steht die ich selbst da reingeschrieben habe, die wird aus der Routingtable (Binärdatei) gelesen.
        
        Nun, interessant deswegen, weil es Frameworks gibt, da steht der Name der Klasse im URL!
        
        Aber meine Frage ist natürlich, was ich tun muss damit meine Klasse mit -T geladen werden kann.
        
        MFG
        Last edited: 2020-01-19 14:32:56 +0100 (CET)
        http://rolfrost.de/wallpaper.html
        
        WallPaper -- jeden Monat neu. Mit nur 2 Klicks den Aktuellen Monat auf dem Desktop.
        
        +8 replies
        
        Linuxer
        
        2020-01-19 18:01
        
        User since
        2006-01-27
        3891 Artikel
        HausmeisterIn
        
        Dann wird $class wohl "tainted" sein und Du wirst es säubern müssen.
        Infos zum Säubern: https://perldoc.perl.org/perlsec.html#Laundering-a...
        
        Scalar::Utils tainted Funktion kann aufzeigen, ob ein Skalar "tainted" ist oder nicht.
        meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
        Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!
        
        +7 replies
        
        rosti
        
        2020-01-19 18:30
        
        User since
        2011-03-19
        3726 Artikel
        BenutzerIn
        
        Genau das war ja meine Frage: Was muss ich tun um den Namen der Datei, die sich aus dem Namen der Klasse ergibt, zu säubern?
        
        Beispiel:
        
        Code (perl): (dl )
        
        1 2 3
        
        my $classfile = $class; # Admin::FileMan $classfile =~ s|::|/|g; # Admin/Fileman require "$classfile.pm"; # Admin/Fileman.pm
        
        Gut zu sehen auch, daß da ein Slash drinsteht.
        
        MFG
        Last edited: 2020-01-19 19:02:45 +0100 (CET)
        http://rolfrost.de/wallpaper.html
        
        WallPaper -- jeden Monat neu. Mit nur 2 Klicks den Aktuellen Monat auf dem Desktop.
        
        +6 replies
        
        Linuxer
        
        2020-01-19 19:37
        
        User since
        2006-01-27
        3891 Artikel
        HausmeisterIn
        
        So wie es in der verlinkten Doku steht.
        
        Das muss mit einem einfangenden Regex geprüft und bei Erfolg muss $1 übernommen werden.
        
        Code (perl): (dl )
        
        1 2 3 4 5
        
        if ($data =~ /^([-\@\w.]+)$/) { $data = $1; # $data now untainted } else { die "Bad data in '$data'"; # log this somewhere }
        
        Die Kunst ist, einen Regex zu finden, der auf das gewünschte zutrifft, und das unerwünschte ausschließt.
        meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
        Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!
        
        +5 replies
        
        rosti
        
        2020-01-20 08:31
        
        User since
        2011-03-19
        3726 Artikel
        BenutzerIn
        
        Das würde den Slash entfernen. So kann das Modul nicht mehr geladen werden.
        
        MFG
        http://rolfrost.de/wallpaper.html
        
        WallPaper -- jeden Monat neu. Mit nur 2 Klicks den Aktuellen Monat auf dem Desktop.
        
        +4 replies
        
        Linuxer
        
        2020-01-20 11:58
        
        User since
        2006-01-27
        3891 Artikel
        HausmeisterIn
        
        Wie jetzt? Du baust Dir einen Regex, der keinen Slash einfängt und erklärst dann, dass der Slash entfernt würde?
        
        Mein Code-Beispiel ist direkt der zuvor verlinkten Seite entnommen.
        Du musst Dir den Regex schon selber zusammenbauen, so dass er für Dich passt.
        meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
        Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!
        
        +3 replies
        
        rosti
        
        2020-01-20 14:11
        
        User since
        2011-03-19
        3726 Artikel
        BenutzerIn
        
        Quote
        Du musst Dir den Regex schon selber zusammenbauen, so dass er für Dich passt
        
        Womit wir wieder bei meiner Frage wären: Was soll die Regex denn machen?
        
        MFG
        http://rolfrost.de/wallpaper.html
        
        WallPaper -- jeden Monat neu. Mit nur 2 Klicks den Aktuellen Monat auf dem Desktop.
        
        +2 replies
        
        Linuxer
        
        2020-01-20 22:30
        
        User since
        2006-01-27
        3891 Artikel
        HausmeisterIn
        
        Die Regex muss das abdecken, was im jeweiligen Anwendungsfall korrekt sein soll.
        
        Wenn Du einen Pfad hast, der nur aus Buchstaben, Zahlen und "/" bestehen kann, dann muss der Regex das einfangen können.
        
        Und ich würde in diesem Fall nicht erst $classfile verarbeiten, sondern vorher schon $class sauber machen.
        
        Beispiel:
        
        Foo/Bar.pm (1.5kb)
        
        test_taint.pl (4.5kb)
        
        Code: (dl )
        
        1 2 3 4 5 6 7
        
        $ perl -T test_taint.pl Foo::Bar 47.11 $ perl -T test_taint.pl Foo::..::Bar 'untaint' fehlgeschlagen. $
        
        meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
        Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!
        
        rosti
        
        2020-01-21 08:11
        
        User since
        2011-03-19
        3726 Artikel
        BenutzerIn
        
        Quote
        Die Regex muss das abdecken, was im jeweiligen Anwendungsfall korrekt sein soll.
        
        Das macht sie. Trotzdem verweigert mein Script mit -t seinen Dienst.
        
        MFG
        http://rolfrost.de/wallpaper.html
        
        WallPaper -- jeden Monat neu. Mit nur 2 Klicks den Aktuellen Monat auf dem Desktop.
        
        +12 replies
        
        haj
        
        2020-01-19 21:50
        
        User since
        2015-01-07
        592 Artikel
        BenutzerIn
        
        2020-01-19T10:53:07 rosti
        [...]
        
        Code (perl): (dl )
        
        1 2 3
        
        my $classfile = $class; $classfile =~ s|::|/|g; require "$classfile.pm";
        
        daß sowas mit -T in der shebang nicht durchgeht. Wobei in $class eine Klasse steht die ich selbst da reingeschrieben habe, die wird aus der Routingtable (Binärdatei) gelesen.
        
        Daten aus einer Datei sind "tainted", das gilt auch für Kopien und Modifikationen der Daten. Somit funktioniert das genau so wie beschrieben!
        
        2020-01-19T10:53:07 rosti
        Nun, interessant deswegen, weil es Frameworks gibt, da steht der Name der Klasse im URL!
        
        Aber meine Frage ist natürlich, was ich tun muss damit meine Klasse mit -T geladen werden kann.
        
        Die Frameworks müssen dann den Klassennamen auch reinwaschen, denn auch die URL kommt "von extern". Wer die Konfigurationsdatei des Webservers kontrolliert, hat sonst völlig in der Hand, was da geladen und ausgeführt wird.
        
        Reinwaschen kann man Variablen beispielsweise dadurch, dass man sie als "capture" eines regulären Ausdrucks bezieht. Das ist schon so beabsichtigt, weil reguläre Ausdrücke sich ganz natürlich dazu eignen, nur die gültigen Zeichen aus einen String rauszufiltern. Dabei kann man, wen man der Quelle vertraut, auch mogeln und im regulären Ausdruck einfach alles von vorn bis hinten mit qr/(.*)/ zulassen:
        
        Code (perl): (dl )
        
        1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
        
        #!/usr/bin/env -S perl -T use strict; use warnings; use 5.020; use Scalar::Util qw(tainted); sub untaint_unchecked { ($_[0] =~ /(.*)/)[0]; } sub check_taint { my ($name,$var) = @_;; my $tainted = tainted($var) ? '' : ' nicht'; say "$name mit Wert '$var' ist$tainted verdorben"; } check_taint("Umgebungsvariable HOME", $ENV{HOME}); my $var = $ENV{HOME} =~ s!/!::!gr; check_taint("Modifizierte Kopie",$var); my $laundered = untaint_unchecked($var); check_taint("Reingewaschene Variable",$laundered);
        
        Es hat übrigens selbst beim Mogel-Reinwaschen einen Sinn, das in einem Unterprogramm zu erledigen und den Einzeiler nicht "Inline" da hinzuschreiben, wo er gebraucht wird: Auf diesem Weg hat man jederzeit die Möglichkeit, herauszufinden, ob und wie die Variable validiert wurde, und überlegen, ob man Sicherheit gewinnt, wenn man schärfer validiert.
        
        +11 replies
        
        rosti
        
        2020-01-20 08:47
        
        User since
        2011-03-19
        3726 Artikel
        BenutzerIn
        
        Quote
        Dabei kann man, wen man der Quelle vertraut, auch mogeln und im regulären Ausdruck einfach alles von vorn bis hinten mit qr/(.*)/
        
        Ja. Dann kann man diese Quatsch aber auch seinlassn. Im Übrigen muss man grundsätzlich alles validieren was von draußen reinkommt, das ist die eine Sache. Die andere Sache ist die, daß man von vornherein dafür sorgt diese Validierungen so einfach wie möglich zu machen. Beispielsweise so, daß in Sachen Webanwendungen für eine URL nur bestimmte und wenige(!) Schlüsselparameter zugelassen sind. Oder daß Klassennamen, Dateinamen und Funktionsnamen eben nicht als HTTP Parameter zulässig sind. Die Lösung für dieses Problem heißt Statisches Routing.
        
        Also ich finde und das zeigt auch meine langjährige Erfahrung (immerhin habe ich 3 Frameworks entwickelt!), es sinnvoller sich mit og. grundsätzlichen Dingen zu befassen. Was auch dazu führt, selber zu Denken als das Denken anderen zu überlassen. Und auch dazu daß man Programmieren nicht als Kopieren von Entwurfsmustern versteht sondern als ein kreatives Handwerk.
        
        MFG
        http://rolfrost.de/wallpaper.html
        
        WallPaper -- jeden Monat neu. Mit nur 2 Klicks den Aktuellen Monat auf dem Desktop.
        
        +10 replies
        
        haj
        
        2020-01-20 17:52
        
        User since
        2015-01-07
        592 Artikel
        BenutzerIn
        
        Du bist da allerdings schon sehr fixiert auf Web-Frameworks. Ich hatte mit einigen Produkten zu tun, bei denen "von draußen" nicht so klar definiert ist. Wenn Perl-Programme für Sterbliche aus Unix-technischen Gründen unter sudo laufen müssen, dann muss man schon dafür sorgen, dass die Leute nicht durch geschicktes Setzen von Umgebungsvariablen oder erzeugen eigener Konfigurationsdateien dem Programm unerwünschtes Verhalten unterjubeln. Taint-Checking ist dazu weder notwendig noch hinreichend, aber es ist hilfreich. Sobald man das Tool einsetzt, weil es hilfreich ist, muss man manchmal eben auch Checks durchführen, die keine sind.
        
        +9 replies
        
        rosti
        
        2020-01-20 22:00
        
        User since
        2011-03-19
        3726 Artikel
        BenutzerIn
        
        Dann zeige doch mal ein Beispiel wie man -t hilfreich nutzen kann. Also nachvollziehbar. MFG
        
        PS:
        
        Quote
        Ich hatte mit einigen Produkten zu tun, bei denen "von draußen" nicht so klar definiert ist.
        
        Also ich dachte genau das ist das was -t macht: Zu erkennen was von draußen kommt und als tainted (verdorben) zu taggn.
        Last edited: 2020-01-20 22:11:15 +0100 (CET)
        http://rolfrost.de/wallpaper.html
        
        WallPaper -- jeden Monat neu. Mit nur 2 Klicks den Aktuellen Monat auf dem Desktop.
        
        +8 replies
        
        haj
        
        2020-01-20 22:56
        
        User since
        2015-01-07
        592 Artikel
        BenutzerIn
        
        2020-01-20T21:00:37 rosti
        Dann zeige doch mal ein Beispiel wie man -t hilfreich nutzen kann. Also nachvollziehbar. MFG
        
        Ich habe Dir doch ein Szenario beschrieben! Das ist allerdings nicht das einer Web-Anwendung, es kann sein, dass es für Dich nicht nachvollziehbar ist.
        
        2020-01-20T21:00:37 rosti
        PS:
        
        Quote
        Ich hatte mit einigen Produkten zu tun, bei denen "von draußen" nicht so klar definiert ist.
        
        Also ich dachte genau das ist das was -t macht: Zu erkennen was von draußen kommt und als tainted (verdorben) zu taggn.
        
        Ja, das macht es. Und es mault auch nur dann, wenn Du es auch wieder in einer Schnittstelle "nach draußen" verwendest. Aber die Grenzen sind nicht die der Netzverbindung zum Web-Client. Perl es betrachtet auch Dinge als "von draußen", die Du und vielleicht auch andere Programmierer als "zum Programm gehörig" betrachten, wie zum Beispiel die Routing-Tabelle aus einer Binärdatei. Wenn jemand die Binärdatei gezielt verändert, dann verhält sich Dein Programm anders, weil Klassen des Angreifers geladen werden. Perl teilt Dir dank -t mit, dass es keine Validierung zwischen dem Einlesen und der Verwendung in use lib gesehen hat. Wenn Du keinen Wert darin siehst, dann lass' es.
        
        P.S.: Kann es sein, dass Deiner Signatur ein "r" fehlt?
        
        +7 replies
        
        rosti
        
        2020-01-21 08:45
        
        User since
        2011-03-19
        3726 Artikel
        BenutzerIn
        
        Scenarios sind eine spekulative Angelegenheit. Und im Grunde genommen ist -t das auch. Genausowenig wie ein Helm das Radfahren sicherer macht, macht -t ein Perlscript sicherer.
        
        Was @ARGV betrifft: Damit hatte ich mal ein Sicherheitsproblem. Da hatte ich gerade angefangen mit Perl. Die Lösung war nicht -t. Und das ist meine Erfahrung: Sicherheitsprobleme entstehen durch Unachtsamkeit und oft auch infolge systematischer Fehler die auch ein Programmierer macht. Es kommt darauf an, daraus zu lernen.
        
        MFG
        
        PS: Rechtschreifehler berichtigt.
        Last edited: 2020-01-21 08:52:24 +0100 (CET)
        http://rolfrost.de/wallpaper.html
        
        WallPaper -- jeden Monat neu. Mit nur 2 Klicks den Aktuellen Monat auf dem Desktop.
        
        +6 replies
        
        haj
        
        2020-01-22 14:42
        
        User since
        2015-01-07
        592 Artikel
        BenutzerIn
        
        2020-01-21T07:45:03 rosti
        Scenarios sind eine spekulative Angelegenheit.
        
        Gerade habe ich etwas konkretes dazu auf meinem System (Debian Buster) entdeckt. PostgreSQL kommt mit einigen Administrationsprogrammen, und einige davon, zum Beispiel pg_lsclusters, sind in Perl geschrieben. Bei denen findet sich ein -T in der Shebang-Zeile.
        
        Ohne das -T wären diese Skripten dadurch angreifbar, dass man über die Umgebungsvariable PERL5LIB (oder vor Perl 5.26, also in allen älteren Debian-Versionen, im aktuellen Verzeichnis des Prozesses) manipulierte Bibliotheken ablegt, die das Skript dann anstelle derer vom System oder von PostgreSQL benutzt.
        
        Das zugehörige Modul PgCommon macht einige Checks, auf die man natürlich auch so draufkommen könnte. Der Taint-Check stellt schon in der Entwicklungsphase sicher, dass man's nicht übersieht: Das Putzen von $ENV{PATH} ist so ein Fall. Das Modul benutzt auch zwei Dinge, die ich genannt habe: Es ändert die Benutzerkennung, unter der der Prozess läuft, und es startet weitere Prozesse mit backticks und system.
        
        +5 replies
        
        rosti
        
        2020-01-22 15:14
        
        User since
        2011-03-19
        3726 Artikel
        BenutzerIn
        
        Quote
        im aktuellen Verzeichnis des Prozesses) manipulierte Bibliotheken ablegt, die das Skript dann anstelle derer vom System oder von PostgreSQL benutzt.
        
        Wenn die manipulierten Blibliotheken den gleichen Namen und denselben Pfad haben wie die nicht manipulierten Bilbliotheken ist -T ohne Effekt. Da muss man schon mit Checksummen arbeiten wenn man Angriffe dieser Art abwehren will.
        
        MFG
        http://rolfrost.de/wallpaper.html
        
        WallPaper -- jeden Monat neu. Mit nur 2 Klicks den Aktuellen Monat auf dem Desktop.
        
        +4 replies
        
        haj
        
        2020-01-22 16:26
        
        User since
        2015-01-07
        592 Artikel
        BenutzerIn
        
        In dem von mir beschriebenen Szenario haben die manipulierten Bibliotheken nicht den selben Pfad. Sie liegen im aktuelle Verzeichnis des Prozesses oder da, wo PERL5LIB hinzeigt, egal, wer auf diese Verzeichnisse Schreibrechte hat. Und genau dagegen hilft -T. Die Entwickler der Skripten gehen davon aus, dass die Bibliotheken auf den in Perl konfigurierten Pfaden nur mit Root-Rechten zu manipulieren sind und schützen sich gegen irrtümliche oder absichtliche Aktivierung fremder Bibliotheken.
        
        Dass "." mit Perl 5.26 aus @INC entfernt wurde, war nicht ohne Grund und ist in perl5260delta auch beschrieben. PERl5LIB ist noch gefährlicher, denn es wird vor die anderen Einträge in @INC gesetzt, während "." "nur" der letzte Eintrag in älteren Perl-Versionen ist.
        
        +3 replies
        
        rosti
        
        2020-01-22 20:21
        
        User since
        2011-03-19
        3726 Artikel
        BenutzerIn
        
        Quote
        Die Entwickler der Skripten gehen davon aus, dass die Bibliotheken auf den in Perl konfigurierten Pfaden nur mit Root-Rechten zu manipulieren sind
        
        Das Erste Ziel eines Hackers ist, sich Rootrechte zu verschaffen. Nicht zuletzt deswegen damit sein Eindringen nicht bemerkt wird.
        
        MFG
        http://rolfrost.de/wallpaper.html
        
        WallPaper -- jeden Monat neu. Mit nur 2 Klicks den Aktuellen Monat auf dem Desktop.
        
        +2 replies
        
        Crian
        
        2020-01-23 08:48
        
        User since
        2003-08-04
        5878 Artikel
        ModeratorIn
        
        Ich denke genau das soll u.a. vermieden werden. Hat jemand erstmal Rootrechte, muss er nicht mehr mein Programm manipulieren, sondern hat bereits vollständigen Zugriff auf das System.
        s--Pevna-;s.([a-z]).chr((ord($1)-84)%26+97).gee; s^([A-Z])^chr((ord($1)-52)%26+65)^gee;print;
        
        use strict; use warnings; Link zu meiner Perlseite
        
        rosti
        
        2020-01-23 09:14
        
        User since
        2011-03-19
        3726 Artikel
        BenutzerIn
        
        In Fakt hat ein Hacker Rootrechte. In Sachen Perl nützt es da gar nichts, bestimmte Verzeichnisse für @INC auszuschließen.
        
        MFG
        http://rolfrost.de/wallpaper.html
        
        WallPaper -- jeden Monat neu. Mit nur 2 Klicks den Aktuellen Monat auf dem Desktop.
- +2 replies
- rosti
  
  2020-01-16 08:53
  
  User since
  2011-03-19
  3726 Artikel
  BenutzerIn
  
  Das hängt von der Serverkonfiguration ab. Mein Webserver Apache 2.2 auf meinem lokalen PC jedenfalls legt einen QUERY_STRING auf ARGV um.
  
  Der Webserver meines Providers hingegen tut das nicht. MFG
  http://rolfrost.de/wallpaper.html
  
  WallPaper -- jeden Monat neu. Mit nur 2 Klicks den Aktuellen Monat auf dem Desktop.
  - bianca
    
    2020-01-16 12:12
    
    User since
    2009-09-13
    7016 Artikel
    BenutzerIn
    
    OK gute Info.
    Welcher Apache Parameter steuert das?
    10 print "Hallo"
    20 goto 10
- +12 replies
- GwenDragon
  
  2020-01-16 14:59
  
  User since
  2005-01-17
  14875 Artikel
  Admin1
  
  Niemals sollte sin Perl-Programm externen Variablen und Parametern vertrauen.
  Interessant dazu: https://media.ccc.de/v/32c3-7130-the_perl_jam_2
  
  Wenn eins es sicher will:
  - nutzt den Schalter -t im Shebang (das aktviert den Taint-Mode)
  - prüft per regex was in @ARGV drin steht
  - sinnvollerweise nie so eben mal mit <> einlesen
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - bianca
    
    2020-01-17 08:31
    
    User since
    2009-09-13
    7016 Artikel
    BenutzerIn
    
    Danke dir für die Hinweise.
    10 print "Hallo"
    20 goto 10
  - +10 replies
  - haj
    
    2020-01-17 13:28
    User since
    2015-01-07
    592 Artikel
    BenutzerIn
    
    2020-01-16T13:59:14 GwenDragon
    Niemals sollte sin Perl-Programm externen Variablen und Parametern vertrauen.
    Interessant dazu: https://media.ccc.de/v/32c3-7130-the_perl_jam_2
    
    Den CCC-Vortrag habe ich mir gerade angeguckt und war ziemlich enttäuscht. Der geht schon sehr auf Effekt aus und vermeidet jegliche Hinweise, wie man's richtig macht. Eine Sprache wie Perl, die einerseits mächtig ist und es andererseits einfach macht, Code zu schreiben, macht es eben auch leicht, unsicheren Code zu schreiben. Wenn Du Dir eine Kettensäge kaufst und Dir damit ins Bein sägst - ist dann die Kettensäge schuld? Henry Spencer war wohl der erste, der Perl als die "Swiss Army Chainsaw of scripting" bezeichnet hat...
    
    2020-01-16T13:59:14 GwenDragon
    Wenn eins es sicher will:
    - nutzt den Schalter -t im Shebang (das aktviert den Taint-Mode)
    - prüft per regex was in @ARGV drin steht
    - sinnvollerweise nie so eben mal mit <> einlesen
    
    Ich halte auch das Taint-Checking für eine hilfreiche Komponente, obwohl ich schon viel Zeit drauf verbraten habe, "false positives" (also Programmabstürze wegen Insecure dependency ohne wirkliche Unsicherheit) zu jagen. Es wird noch wirksamer mit -T anstelle von -t. Was man dazu wissen sollte und was leider nicht alles in perlsec steht:
    
    Taint-Mode nur in Shebang reicht nicht immer. Beim Aufruf von der Kommandozeile muss auch perl -T scriptname gestartet werden (auch im Crontab-Eintrag!). Wenn wie bei Apache und mod_cgi das Skript selbst ausführbar gemacht und direkt als scriptname gestartet wird, dann muss im Shebang der absolute Pfad zu Perl drinstehen. Das kann man dann nicht mehr so einfach mit perlbrew für verschiedene Perl-Versionen entwickeln und testen, die Variante #!/usr/bin/env -S perl -T tut's aber.
    Taint-Mode sollte man auf jeden Fall auch bei Unit Tests einschalten. Das ist leider manchmal mühsam, weil man bei Testdaten normalerweise drauf pfeift, ob sie sicher sind.
    Manche CPAN-Module (zum Beispiel Plack) funktionieren einfach nicht mit Taint-Mode. Wenn man die trotzdem braucht oder verwenden will, kann man -T nicht verwenden, Unit Tests mit Taint-Prüfung werden noch wichtiger.
    Im Taint-Mode ist die gesamte Umgebung %ENV "tainted". Das heißt, dass zum Beispiel die Umgebungsvariable PERL5LIB nicht ausgewertet wird, deswegen verträgt es sich unter anderem nicht mit local::lib.
    Auch $ENV{HOME}, $ENV{PWD} und das Ergebnis von Cwd::getcwd sind "tainted", was zu Ärger mit verwendeten CPAN-Modulen führen kann. In eigenem Code kann man das aktuelle Verzeichnis taint-sicher mit File::Spec->curdir() ermitteln.
    File::Temp verhält sich auch "anders", weil normalerweise die Default-Directories in Umgebungsvariablen stehen. Und die sind "tainted", werden also ignoriert.
    "Untainted" heißt nicht "sicher" - es ist nur eine der Komponenten. Aber das hat GwenDragon auch schon geschrieben: Traue keinen externen Parametern.
    
    Sicherheit ist nicht ganz einfach. Wichtig für das richtige Augenmaß ist die Frage: Für wen schreibe ich den Code? Komponenten, die auf einem Webserver im Internet laufen oder die als Produkt verkauft werden sollen, müssen auch gegen clevere Verbrecher gewappnet sein. Was nur bei mir daheim und für mich läuft, darf auch mal lax sein, wenn's nur schnell fertig ist. Dass beides mit Perl möglich ist, betrachte ich als eine der Stärken von Perl.
    - +4 replies
    - rosti
      
      2020-01-17 15:19
      
      User since
      2011-03-19
      3726 Artikel
      BenutzerIn
      
      Wenn ich in der Shebang -t einschalte werden alle meine Libraries nicht mehr gefunden was zu einem 500er führt. Was daran in Sachen Sicherheit gut sein soll erschließt sich mir nicht.
      
      MFG
      http://rolfrost.de/wallpaper.html
      
      WallPaper -- jeden Monat neu. Mit nur 2 Klicks den Aktuellen Monat auf dem Desktop.
      - +3 replies
      - haj
        
        2020-01-17 18:03
        
        User since
        2015-01-07
        592 Artikel
        BenutzerIn
        
        Na, den Server knackt Dir keiner mehr! (SCNR)
        
        Aber ernsthaft: Wenn Du prüfst, woher Deine Programme ihre Einträge in @INC beziehen, dann solltest Du diesem Problem schnell auf die Spur kommen.
        
        Für viele Web-Anwendungen ist der Zugewinn durch Taint-Checking tatsächlich eher gering, weil der Anwender (=mögliche Angreifer) außer dem HTTP-Request keinen Hebel hat. Was per HTTP reinkommt, muss eh' von vorn bis hinten validiert werden, auch mit Varianten, die kein Browser erzeugt. Das ist beispielsweise auch die Rechtfertigung der Plack-Entwickler, warum sie ihren Code nicht taint-fest machen.
        
        Wenn ein Produkt ein CLI ausliefert, vielleicht auch noch mit Teilen, die unter sudo ausgeführt werden, dann sieht die Sache schon anders aus. Da werden manche Flüchtigkeitsfehler, bei denen man nicht drandenkt, welche Schnittstelle welche Umgebungsvariablen auswertet, dank des Taint-Check gar nicht erst eingecheckt, und beim Testen merkt man schnell, wenn andere Plattformen andere Umgebungsvariablen nutzen.
        
        Ihr Hirn müssen die Entwickler trotzdem benutzen, denn es ist viel bequemer, den Taint-Check einfach zu überlisten als nachzudenken, ob tatsächlich eine Angriffsmöglichkeit vorliegt. Und es gibt auch jede Menge von Schwachstellen, die Taint-Checking nicht finden kann.
        
        +2 replies
        
        rosti
        
        2020-01-17 19:25
        
        User since
        2011-03-19
        3726 Artikel
        BenutzerIn
        
        Quote
        Aber ernsthaft: Wenn Du prüfst, woher Deine Programme ihre Einträge in @INC beziehen, dann solltest Du diesem Problem schnell auf die Spur kommen.
        
        Code (perl): (dl )
        
        use lib qw(...);
        
        natürlich wie denn sonst.
        
        In PHP mache ich übrigens genau dasselbe:
        
        Code: (dl )
        
        set_include_path(get_include_path().PATH_SEPARATOR.LIBDIR);
        
        um meine eigene Lib-Directory hinzuzufügen. Die per Vendor und ISP festgelegten INC-Pfade für Perl bzw. PHP spielen in meinen Frameworks überhaupt keine Rolle (und gehen mich auch gar nichts an).
        
        MFG
        Last edited: 2020-01-17 19:45:09 +0100 (CET)
        http://rolfrost.de/wallpaper.html
        
        WallPaper -- jeden Monat neu. Mit nur 2 Klicks den Aktuellen Monat auf dem Desktop.
        
        Linuxer
        
        2020-01-20 23:48
        
        User since
        2006-01-27
        3891 Artikel
        HausmeisterIn
        
        Und woher kommt die Liste für use lib bei Dir? Ist das wirklich eine hart kodierte Liste in qw()? Oder wird da mit Hilfe von Modulen ein oder mehrere Pfade ermittelt?
        
        Bei Verwendung des Taint-Modus muss man sich klar sein, das Module auch "tainted" Daten liefern können:
        
        Z.B. ist $FindBin::Bin von FindBin tainted und sollte bei Nutzung gesäubert werden.
        Oder die Rückgabe von Cwd::realpath() ist ebenfalls tainted.
        
        Übungs-Beispiel für ein use lib mit Pfaden, die auf $FindBin::Bin basieren:
        
        Code (perl): (dl )
        
        1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40
        
        #! /usr/bin/perl -T use strict; use warnings; use 5.020; use FindBin; use File::Spec; use Cwd qw( realpath ); use Scalar::Util qw( tainted ); our @LIB_DIRS; BEGIN { # build paths for different library directories # all are tainted because of $FindBin::Bin and realpath (which removes the /../ from the paths) # this script is located inside cgi-bin; and the lib directories are in parallel directories @LIB_DIRS = map { realpath( File::Spec->catdir( $FindBin::Bin, '..', $_ ) ) } qw( lib perl5lib stay-tainted ); # untaint dirs for ( @LIB_DIRS ) { if ( m|^([\w/]+)$|i ) { $_ = $1; } else { # better die here #die "$_ is an insecure path\n"; } } } use lib @LIB_DIRS; ### check for tainted directories say tainted($_). " $_" for @INC; # Now #use MyModule1; #use MyModule2;
        
        more (191b)
        
        Neue Erkenntnis von heute: Lesen und Verstehen bildet.
        Ich habe die Fehlermeldung immer falsch gedeutet. Ich dachte, dass unter dem Schalter -T schon das use lib $tainted; fehlschlägt. Das funktioniert aber tadellos.
        
        Erst ein folgendes use Module; zieht dann den Fehler der "Insecure Dependency...".
        meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
        Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!
    - +5 replies
    - rosti
      
      2020-01-23 08:30
      
      User since
      2011-03-19
      3726 Artikel
      BenutzerIn
      
      Und noch etwas: Der Taintmodus -T warnt nicht, wenn $ENV{QUERY_STRING} im Script verwendet wird und warnt nicht bei der Verwendung von @ARGV und warnt auch nicht bei der Verwendung von ARGV. Siehe mein Beispiel.
      
      Und wenn man bei einem CGI-Script die Warnungen nicht in den Status einer Exception erhebt so daß sie einen 500er hervorrufen, bekommt man sie nur mit wenn man zufällig mal ins Errorlog schaut.
      
      MFG
      http://rolfrost.de/wallpaper.html
      
      WallPaper -- jeden Monat neu. Mit nur 2 Klicks den Aktuellen Monat auf dem Desktop.
      - +4 replies
      - haj
        
        2020-01-23 10:38
        
        User since
        2015-01-07
        592 Artikel
        BenutzerIn
        
        2020-01-23T07:30:42 rosti
        Und noch etwas: Der Taintmodus -T warnt nicht, wenn $ENV{QUERY_STRING} im Script verwendet wird und warnt nicht bei der Verwendung von @ARGV und warnt auch nicht bei der Verwendung von ARGV. Siehe mein Beispiel.
        
        Bei bloßer Verwendung verdorbener Variablen warnt der Modus nicht. Wenn er das täte, dann könnte man sie nicht einmal ohne Warnung "reinigen". Er warnt nicht, wenn Du aus einem verdorbenen Pfadnamen einliest, und er warnt nicht, wenn Du verdorbene Daten druckst. Er mault allerdings, wenn Du einen verdorbenen Pfadnamen zum Schreiben öffnest oder Code aus verdorbenen Pfaden ausführen willst.
        
        Nebenbei: Die Liste der Dinge, die der Taint-Modus nicht macht, ist ziemlich lang, Du brauchst nicht jedes Mal einen neuen Artikel dazu schreiben.
        
        2020-01-23T07:30:42 rosti
        Und wenn man bei einem CGI-Script die Warnungen nicht in den Status einer Exception erhebt so daß sie einen 500er hervorrufen, bekommt man sie nur mit wenn man zufällig mal ins Errorlog schaut.
        
        MFG
        
        Als Betreiber eines Webservers nur "zufällig" ins Errorlog zu schauen, ist grob fahrlässig. 500er bemerkt zunächst nur der, der die Seite aufruft, auf Serverseite landen auch die im Errorlog.
        
        Ansonsten magst Du vielleicht Deine Beispiele und die Dokumentation perlrun noch einmal genau anschauen. In beiden Beispielen verwendest Du als Schalter -t und nicht -T. -t warnt, -T stirbt.
        
        +3 replies
        
        rosti
        
        2020-01-23 11:15
        
        User since
        2011-03-19
        3726 Artikel
        BenutzerIn
        
        Das Errorlog ist kein Entwicklerwerkzeug. Im Gegensatz zu PHP kann man in Perl dafür sorgen, daß auch ein 500er Status mit einem aussagekräftigen Text im Browser erscheint, so daß man nicht im Errorlog nachschauen muss.
        
        Mein Tipp: Auch Warnungen in den Status einer Exception erheben damit sie bemerkt werden.
        
        MFG
        http://rolfrost.de/wallpaper.html
        
        WallPaper -- jeden Monat neu. Mit nur 2 Klicks den Aktuellen Monat auf dem Desktop.
        
        +2 replies
        
        bianca
        
        2020-01-24 06:47
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        2020-01-23T10:15:40 rosti
        Im Gegensatz zu PHP kann man in Perl dafür sorgen, daß auch ein 500er Status mit einem aussagekräftigen Text im Browser erscheint, so daß man nicht im Errorlog nachschauen muss.
        
        Bist du denn der alleinige einzige Nutzer deiner Werke?
        10 print "Hallo"
        20 goto 10
        
        rosti
        
        2020-01-24 07:38
        
        User since
        2011-03-19
        3726 Artikel
        BenutzerIn
        
        Als Perlentwickler und Netzwerkmanager im Bankenumfeld gebe ich hier nur Erfahrungen weiter die sich insbesondere in Sachen Sicherheit jahrzehntelang bewährt haben.
        
        MFG
        
        PS: Die Anforderungen in Sachen Sicherheit sind vielfältig und von CGI-Scripts zu CMD-Scripts auch unterschiedlich. Von daher solltest Du diese Dinge sauber voneinander trennen.
        Last edited: 2020-01-24 07:45:55 +0100 (CET)
        http://rolfrost.de/wallpaper.html
        
        WallPaper -- jeden Monat neu. Mit nur 2 Klicks den Aktuellen Monat auf dem Desktop.

View all threads created 2020-01-15 18:01.