Regex 如何验证Perl CGI脚本的输入,以便安全地将其传递给shell?
我对Perl和复杂的正则表达式都是新手。我的意思是我以前用过正则表达式中的*,但没有比这更复杂的了。在下面的脚本中,我知道有一个非常大的安全漏洞,在这个漏洞中可以注入并运行perl代码,这样即使是一个shell也可以执行任何命令。在试图阻止这种注入时,我逐渐意识到正则表达式比我想象的要困难得多。我正在使用的书说使用Regex 如何验证Perl CGI脚本的输入,以便安全地将其传递给shell?,regex,perl,security,cgi,Regex,Perl,Security,Cgi,我对Perl和复杂的正则表达式都是新手。我的意思是我以前用过正则表达式中的*,但没有比这更复杂的了。在下面的脚本中,我知道有一个非常大的安全漏洞,在这个漏洞中可以注入并运行perl代码,这样即使是一个shell也可以执行任何命令。在试图阻止这种注入时,我逐渐意识到正则表达式比我想象的要困难得多。我正在使用的书说使用 die "The specified user contains illegal characters!" unless($user =~/^\w+$/); 我相当确定
die "The specified user contains illegal characters!"
unless($user =~/^\w+$/);
unless($user=~/^\w+;\w$/);
#/usr/bin/perl
使用CGI;
使用CGI::Carp qw(fatalsToBrowser);
$q=新的CGI;
打印$q->标题,
$q->start_html('Finger User'),
$q->h1(“手指用户”),
打印“”;
$user=$q->param(“用户”);
#“指定的用户包含非法字符!”
#除非($user=~/ls/);
如果(!($user=~/^\w*;\w*$/){
打印“/usr/bin/finger-s$user”;
}
打印“”;
打印$q->end\u html;
\w[A-Za-z0-9.]\w+a_b0c^$$user$user$user=~/^\w+$/$$user\z$\z\w[A-Za-z0-9.]\w+a_b0c^$$user$user$user=~/^\w+$/$$user\z$alice;回声“破碎!”;bob这里的一般原则是,您通常应该测试并只接受“好”输入,而不是拒绝“坏”输入。这是许多关于这个主题的好文章之一。这里还有一个重要的观点。在编写代码时,除了两个由一个分号分隔的字母数字序列之外,您的代码将允许其他任何内容。例如
alice;回声“破碎!”;bob这里的一般原则是,您通常应该测试并只接受“好”输入,而不是拒绝“坏”输入。是许多关于这个主题的好文章之一。首先,让我们看看给你带来麻烦的陈述:
if ( $user !~ /^\w+$/ ) {
die "...";
}
[a-z_a-Z0-9]$user=~/^\w+\w$/$user=~/^\w+\w$/use strict;
use warnings;
$q = new CGI;
使用CGI::Carp qw(fatalsToBrowser)应仅用作
如果您没有访问web服务器日志的权限,则为短期抓取
第三,
my $q = CGI->new;
应该是
print $q->header,
$q->start_html('Finger User'),
$q->h1('Finger User'),
print "<pre>";
新的CGI
被称为间接对象表示法,让您任由
perl
关于您的代码最终会做什么<代码>CGI->newCGI新方法。另外,我讨厌$q
或$query
作为
包含CGI
对象的变量的名称。只需一个简单的$cgi
就可以了
有意义
最后,看看:
#!/usr/bin/env perl
use strict;
use warnings;
use CGI::Simple;
use HTML::Template;
run();
sub run {
my $cgi = CGI::Simple->new;
my $tmpl = HTML::Template->new(filehandle => \*DATA);
my $user = $cgi->param('finger_user');
unless (defined $user) {
show_form($cgi, $tmpl);
return;
}
if (($user) = ($user =~ /^([A-Z_a-z0-9]{1,40})\z/)) {
show_output($cgi, $tmpl, $user);
}
else {
show_error($cgi, $tmpl, "Invalid user name");
}
return;
}
sub show_form {
my ($cgi, $tmpl) = @_;
$tmpl->param(FORM => 1);
print $cgi->header(
-type => 'text/html',
-charset => 'utf-8',
), $tmpl->output;
return;
}
sub show_error {
my ($cgi, $tmpl, $msg) = @_;
$tmpl->param(ERRORMSG => $msg);
print $cgi->header(
-type => 'text/html',
-charset => 'utf-8',
), $tmpl->output;
return;
}
sub show_output {
my ($cgi, $tmpl, $user) = @_;
$tmpl->param(
USER => $user,
OUTPUT => scalar `finger -s $user`,
);
print $cgi->header(
-type => 'text/html',
-charset => 'utf-8',
), $tmpl->output;
return;
}
__DATA__
<!DOCTYPE HTML>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>finger
<TMPL_IF USER>
<TMPL_VAR USER>
<TMPL_ELSE>
a user
</TMPL_IF>
on our system</title>
</head>
<body>
<TMPL_IF ERRORMSG>
<p syle="color:#e11"><TMPL_VAR ERRORMSG></p>
</TMPL_IF>
<TMPL_IF OUTPUT>
<h1>finger <TMPL_VAR USER></h1>
<pre><TMPL_VAR OUTPUT></pre>
</TMPL_IF>
<TMPL_IF FORM>
<form id="finger_form" name="finger_form" method="GET">
<p><label for="finger_user"><input id="finger_user" name="finger_user" type="text"
size="51"><input type="submit" value="finger" id="finger_submit"
name="finger_submit"></p>
</form>
</TMPL_IF>
</body>
</html>
if ( $user !~ /^\w+$/ ) {
die "...";
}
[a-z_a-Z0-9]$user=~/^\w+\w$/$user=~/^\w+\w$/use strict;
use warnings;
$q = new CGI;