Schrift
Start · Board · Webprogrammierung mit Perl · Perl/CGI
[thread]624[/thread]

CGI Sicherheit: Vermeidung gefährlicher Inhalte (Seite 2)

Leser: 2


<< |< 1 2 3 4 5 ... 17 >| >> 166 Einträge, 17 Seiten
Gast Gast
 2005-12-13 13:28
#6128 #6128
[quote=nepos,12.12.2005, 18:39]Und wenn man doch mal User-Input fuer Systemaufrufe oder aehnliches braucht, dann halt entsprechend vorher pruefen.
Eventuell kann auch der Tainted-Mode hilfreich sein. Allerdings laeuft damit z.B. CGI::Session nicht.[/quote]
Tainted-Mode funktioniert leider auch nicht unter win/IIS\n\n

<!--EDIT|Bauhaus|1134473557-->
Antworten mit Zitat
Gast Gast
 2005-12-13 13:31
#6129 #6129
[quote=Dubu,13.12.2005, 00:10]Bisher wurde in den Kommentaren nur davon ausgegangen, dass eine Gefahr fuer den Webserver abzuwenden ist. Aber andere Clients sind ebenso in Gefahr (z. B. durch Cross Site Scripting), wenn ungeprueft Formularinhalte wieder veroeffentlicht werden.[/quote]
Wenn ich das richtig gelesen habe, so wurden in CGI.pm Vorkehrungen gegen CrossSideScripting getroffen?
Antworten mit Zitat
Strat
 2005-12-13 13:47
#6130 #6130
User since
2003-08-04
5246 Artikel
ModeratorIn
[Homepage] [default_avatar]
ich schaetze, man muss sich schon selbst darum kuemmern, was an html- und ausfuehrbaren inhalten man zulaesst oder nicht.
perl -le "s::*erlco'unaty.'.dk':e,y;*kn:ai;penmic;;print"
http://www.fabiani.net/
Antworten mit Zitat
esskar
 2005-12-13 14:17
#6131 #6131
User since
2003-08-04
7321 Artikel
ModeratorIn

user image
[quote=Bauhaus,13.12.2005, 12:16]und eingebetteten Variablen, könnten die tollsten Sachen ausgeführt werden und Schaden anrichten.
(hab ich jedenfalls so gelesen)[/quote]
Code: (dl )
1
2
3
4
5
6
7
use strict;
use warnings;

my $var = 5;
my $text = 'Variable $var';

print $text;


und da du die Daten ja aus einer Textdatei (oder so) einliest, passiert da nix.
Antworten mit Zitat
Gast Gast
 2005-12-13 14:18
#6132 #6132
[quote=Strat,13.12.2005, 12:47]ich schaetze, man muss sich schon selbst darum kuemmern, was an html- und ausfuehrbaren inhalten man zulaesst oder nicht.[/quote]
Genau diese Befürchtung hatte ich, daher auch meine Anfrage hier.
Wie aber kann ich prüfen, ob z.B. eine Bild-Datei tatsächlich echt ist oder aber ausführbaren Code beinhaltet?
Antworten mit Zitat
Gast Gast
 2005-12-13 14:29
#6133 #6133
[quote=esskar,13.12.2005, 13:17][quote=Bauhaus,13.12.2005, 12:16]und eingebetteten Variablen, könnten die tollsten Sachen ausgeführt werden und Schaden anrichten.
(hab ich jedenfalls so gelesen)[/quote]
Code: (dl )
1
2
3
4
5
6
7
use strict;
use warnings;

my $var = 5;
my $text = 'Variable $var';

print $text;


und da du die Daten ja aus einer Textdatei (oder so) einliest, passiert da nix.[/quote]
Das hatte ich bisher auch geglaubt.
Nachdem ich mich aber über Google intensiv mit dem Thema beschäftigt habe, ist mir dieser Glaube abhanden gekommen.
Argggh - hab jetzt unendlich viel zu dem Thema gelesen und bin von einer sicheren Lösung weiter entfernt als jemals zuvor.
Antworten mit Zitat
nepos
 2005-12-13 14:54
#6134 #6134
User since
2005-08-17
1420 Artikel
BenutzerIn
[Homepage] [default_avatar]
Unter Unix gibts das Tool file, das den Dateityp anhand von Header usw. feststellt. Eventuell gibts da auch ein Perl-Modul dazu. Unter Windows wuesste ich nix, wie man das mit den Grafiken sicherstellen koennte.
Antworten mit Zitat
Gast Gast
 2005-12-13 17:42
#6135 #6135
[quote=nepos,13.12.2005, 13:54]Unter Unix gibts das Tool file, das den Dateityp anhand von Header usw. feststellt. Eventuell gibts da auch ein Perl-Modul dazu. Unter Windows wuesste ich nix, wie man das mit den Grafiken sicherstellen koennte.[/quote]
Also für die Prüfung der Images habe ich (denk ich mal) jetzt was gefunden.
Image::size
gibt einen Fehler zurück wenn keine der erwarteten jpg/gif Daten gefunden werden.
Ist zwar etwas umständlich, allein für die Prüfung der Image-Dateien dieses Modul einzusetzen, aber es funktioniert.

Damit bleibt dann 'nur' noch den Inhalt von <textarea> Feldern zu checken - aber da bin ich immer noch ratlos (weil die Dinger ja auch rücktransferiert werden müssen).
Antworten mit Zitat
esskar
 2005-12-13 17:52
#6136 #6136
User since
2003-08-04
7321 Artikel
ModeratorIn

user image
[quote=Bauhaus,13.12.2005, 13:29]Nachdem ich mich aber über Google intensiv mit dem Thema beschäftigt habe, ist mir dieser Glaube abhanden gekommen.
Argggh - hab jetzt unendlich viel zu dem Thema gelesen und bin von einer sicheren Lösung weiter entfernt als jemals zuvor.[/quote]
nicht alles was du im internet liest, stimmt - das ist wie mit der bild-zeitung
Antworten mit Zitat
coax
 2005-12-13 21:21
#6137 #6137
User since
2003-08-11
457 Artikel
BenutzerIn
[default_avatar]
[quote=Bauhaus,13.12.2005, 13:29]Nachdem ich mich aber über Google intensiv mit dem Thema beschäftigt habe, ist mir dieser Glaube abhanden gekommen.
Argggh - hab jetzt unendlich viel zu dem Thema gelesen und bin von einer sicheren Lösung weiter entfernt als jemals zuvor.[/quote]
Bist du bei deiner Suche auch auf OWASP - Open Web Application Security Project gestoszen, dort findest du einen ziemlich umfassenden Guide (~300 Seiten) ueber allgemeine WebAppSec. Weisz nicht wie viele Perl-spezifische Informationen darin zu finden sind, bin seit einigen neuen Releases nicht mehr dazu gekommen darin zu lesen.
   Wenn du Infos darueber moechtest welche Art von Sicherheitsfehlern in Perl basierten WebApps (haeufig) auftreten, dann besuche ein Mailinglisten-Archiv einer auf "Security Vulnerabilities" fokusierte Mailingliste ( wie Bugtraq ) und suche nach populaeren Perl-WebApps ( wie OTRS, AWStats, Webmin, etc. ).
Das duerfte genug Beispielinformationen liefern wobei die meisten Fehler gemacht werden und worauf man zu achten hat.

Grusz Christian.
,,Das perlt aber heute wieder...'' -- Dittsche
Antworten mit Zitat
<< |< 1 2 3 4 5 ... 17 >| >> 166 Einträge, 17 Seiten



View all threads created 2005-12-12 17:10.