Perl Dancer::Plugin::电子邮件模块-数据是否受到污染?
使用该模块时,您是否应该检查用户输入的恶意数据,或者输入是否自动受到污染等 虽然特定于Dancer,但在一般情况下,服务器以root用户身份运行,不受信任的用户输入通过系统(“rm-rf*”)或类似的东西,然后被馈送到sendmail可执行文件,是否会造成风险并打开蠕虫的罐子Perl Dancer::Plugin::电子邮件模块-数据是否受到污染?,perl,webserver,dancer,Perl,Webserver,Dancer,使用该模块时,您是否应该检查用户输入的恶意数据,或者输入是否自动受到污染等 虽然特定于Dancer,但在一般情况下,服务器以root用户身份运行,不受信任的用户输入通过系统(“rm-rf*”)或类似的东西,然后被馈送到sendmail可执行文件,是否会造成风险并打开蠕虫的罐子 这就是为什么建议以有限权限用户的身份运行Web服务器的原因吗?我不知道有什么方法可以使用Dancer::Plugin::Email来运行任意命令,如果有,您可能会在中找到它,这就是与sendmail相关的内容。通过向Ema
这就是为什么建议以有限权限用户的身份运行Web服务器的原因吗?我不知道有什么方法可以使用Dancer::Plugin::Email来运行任意命令,如果有,您可能会在中找到它,这就是与
sendmail
相关的内容。通过向Email::Sender传递普通参数来运行任意命令肯定是一个bug
是否应检查用户输入的恶意数据
否,您应该检查用户输入是否符合您设置的标准
区别很重要
对于导致发送电子邮件的路由,请确保尽可能多的数据来自您信任的来源(即,不是请求),并且只有在有充分理由发送的情况下才来自请求/用户输入
这就是为什么建议以有限权限用户的身份运行Web服务器的原因吗
最好以最低权限执行代码,尤其是面向公众的web应用程序,这不是因为存在已知的安全漏洞,而是因为可能存在您不知道的漏洞。无论是否启用污染模式,您都应该始终清理用户输入。