w*s 发帖数: 7227 | 1 【 以下文字转载自 Linux 讨论区 】
发信人: wds (净洗前尘,从头再来), 信区: Linux
标 题: how to avoid security holes for perl CGI code using checkbox ?
发信站: BBS 未名空间站 (Thu Apr 18 19:01:05 2013, 美东)
Don't know how to describe this clearly,
i have a simple perl CGI code, running with lighttpd.
it has checkbox, if it's set, when you click "submit".
it will trigger my code in the background,
`set_my_value.exe 1`.
if no check that checkbox,
`set_my_value.exe 0`.
Now when i run Rapid7 nexpose, which is a security check application,
it can call my "set_my_value" directly.
So even i didn't check/uncheck the checkbox.
It's setting the values.
Seems lighttpd doesn't support perl taint mode (someone correct me if not
the case), i don't know what to do now.
Any help appreciated.
Thanks ! |
l*********s 发帖数: 5409 | |
w*s 发帖数: 7227 | 3 this is linux
【在 l*********s 的大作中提到】 : why not use linux
|
a9 发帖数: 21638 | 4 能用中文说一遍吗?
不太理解你在说什么,到底是安全问题,还是提交不成功?
【在 w*s 的大作中提到】 : 【 以下文字转载自 Linux 讨论区 】 : 发信人: wds (净洗前尘,从头再来), 信区: Linux : 标 题: how to avoid security holes for perl CGI code using checkbox ? : 发信站: BBS 未名空间站 (Thu Apr 18 19:01:05 2013, 美东) : Don't know how to describe this clearly, : i have a simple perl CGI code, running with lighttpd. : it has checkbox, if it's set, when you click "submit". : it will trigger my code in the background, : `set_my_value.exe 1`. : if no check that checkbox,
|
w*s 发帖数: 7227 | 5 网页打开都没问题,你点个checkbox,然后按submit,
后台就把用一个小程序把debug_level turn on.
如果uncheck,再submit, debug level就off。很简单的CGI。
但用上述的那个web security application来攻击我的网页,
很容易就把我的debug level改来改去。
我估计就是从网页的源程序看见有这个checkbox,然后模拟把check或者uncheck往web
server上送。
server分不清是不是用户从网页上click的,于是也傻呼呼地执行了。
当然是我傻。
但不知道怎么改。有劳大侠了。
【在 a9 的大作中提到】 : 能用中文说一遍吗? : 不太理解你在说什么,到底是安全问题,还是提交不成功?
|
a9 发帖数: 21638 | 6 哦。你可以弄断js算个数,服务器端知道结果。这种攻击软件不一定会计算js
比较可靠的当然是登录后才允许搞。
web
【在 w*s 的大作中提到】 : 网页打开都没问题,你点个checkbox,然后按submit, : 后台就把用一个小程序把debug_level turn on. : 如果uncheck,再submit, debug level就off。很简单的CGI。 : 但用上述的那个web security application来攻击我的网页, : 很容易就把我的debug level改来改去。 : 我估计就是从网页的源程序看见有这个checkbox,然后模拟把check或者uncheck往web : server上送。 : server分不清是不是用户从网页上click的,于是也傻呼呼地执行了。 : 当然是我傻。 : 但不知道怎么改。有劳大侠了。
|
w*s 发帖数: 7227 | 7 对js不熟,javascript的code还是会在网页上显示的吧?
只要显示那程序不会摸进来?
【在 a9 的大作中提到】 : 哦。你可以弄断js算个数,服务器端知道结果。这种攻击软件不一定会计算js : 比较可靠的当然是登录后才允许搞。 : : web
|
l*********s 发帖数: 5409 | 8 ask user to authenticate first such as
typing the text in a image.
web
【在 w*s 的大作中提到】 : 网页打开都没问题,你点个checkbox,然后按submit, : 后台就把用一个小程序把debug_level turn on. : 如果uncheck,再submit, debug level就off。很简单的CGI。 : 但用上述的那个web security application来攻击我的网页, : 很容易就把我的debug level改来改去。 : 我估计就是从网页的源程序看见有这个checkbox,然后模拟把check或者uncheck往web : server上送。 : server分不清是不是用户从网页上click的,于是也傻呼呼地执行了。 : 当然是我傻。 : 但不知道怎么改。有劳大侠了。
|
a9 发帖数: 21638 | 9 不知道那个程序会不会。要想保证不会被攻击,基本只有登录这一条路。
楼上说的验证码一样不靠谱。都是防君子不防小人的招儿。
【在 w*s 的大作中提到】 : 对js不熟,javascript的code还是会在网页上显示的吧? : 只要显示那程序不会摸进来?
|
l*********s 发帖数: 5409 | 10 要把ocr搞的和人一样准可不容易,我不觉得黑客程序有这么高级的功能
【在 a9 的大作中提到】 : 不知道那个程序会不会。要想保证不会被攻击,基本只有登录这一条路。 : 楼上说的验证码一样不靠谱。都是防君子不防小人的招儿。
|
|
|
g*****g 发帖数: 34805 | 11 不自动攻击,手工攻击不行吗?想要不让别人访问,登录是必须的。
【在 l*********s 的大作中提到】 : 要把ocr搞的和人一样准可不容易,我不觉得黑客程序有这么高级的功能
|
w*s 发帖数: 7227 | 12 大牛,公司里的测试要求,通不过没法release ...
【在 g*****g 的大作中提到】 : 不自动攻击,手工攻击不行吗?想要不让别人访问,登录是必须的。
|
a9 发帖数: 21638 | 13 就这样你放心release吗?
【在 w*s 的大作中提到】 : 大牛,公司里的测试要求,通不过没法release ...
|
l*********s 发帖数: 5409 | 14 手工搞一分钟能攻击几次?黑客也不是无聊到这种地步
【在 g*****g 的大作中提到】 : 不自动攻击,手工攻击不行吗?想要不让别人访问,登录是必须的。
|
g*****g 发帖数: 34805 | 15 这个算什么攻击,这就是open site,open site你能做的操作别人自然也能做。
问题是你又不想别人做。captcha什么的显然没用。
【在 l*********s 的大作中提到】 : 手工搞一分钟能攻击几次?黑客也不是无聊到这种地步
|
l*********s 发帖数: 5409 | 16 这种情况当然是必须是登录了,不过楼主既然没提,我觉得这说明他的user case没有
这种需求
【在 g*****g 的大作中提到】 : 这个算什么攻击,这就是open site,open site你能做的操作别人自然也能做。 : 问题是你又不想别人做。captcha什么的显然没用。
|
w*s 发帖数: 7227 | 17 actually i added this check when i see submit action,
unless ($ENV{REQUEST_METHOD} eq "POST")
{
error($q1, "invalid request method");
}
seems helping a lot. |