别忽视脚本安全.pdfVIP

维普资讯 投稿信箱：shn@365mastercom 信息安全 Security 动态网站 已经被广泛应用于各种互联网应用 中。CGI、ASP JSP、PHP 是常见 的用于制作动态 网页的编程工具。然而 ，动态网站所具有的各种各 样的交互能力和传输通道却带来了许多安全隐患。 别忽视脚本安全 ■ 中国核物理研究所化材所 敬晓芳 从 整体 上来 说 ，动 态 网站 真正 完全 杜 绝 的。因此 ，与 上 安全建议 ：让 cGl脚 本能够 的安全 问题主 要 分 为服 务 器的 述原 则相 结合 的做法 是 ：将 确保所接 收到 的所有字符都是 安全 和 软 件 实现 方 面 的安全 ， CGI程 序 限制在 一些 固定 的 目 合 法 的。 其 中，软 件实现方面又分为动 录下 ，这样可 以方便 网管 员进 可 以使 用 类似 下面 的代码 态 网页 的脚本 的安全和支持动 行检查 ，从而避 免一些 明显 的 来过滤不合法 的字符 ： 态 网站 的数据库 的安全 。本文 错误。 if(($file-name= ／【a—zA— 主要介绍几种脚本 的安全问题 。 如果 CGI程序要保存用户 Z-．】／)ll($file—nalne= ／．／)) 户发布的数据 ，CGI脚本就必 {# 文件 包含 有不合法 字 CGI脚本安全问题 须要访 问系统 的文件系统 。通 符 ．} CGI程序使 网页具 有交互 常 Apache服 务器使 用 User和 此 外 ，路径 信 息也要 经 过 功能 ，常采用 Shell脚本 、Perl Group配置 服 务器 运行 的用 户 严 格的验证 。 程序和 c可执行程 序等 形式 ， 和组属性 ，也就等于拥有 了这 在基于 CGI的动态 网站 中， 但不管采用哪种形式，都具有 个 用户 和组 的权 限 ，但 又 必须 用 户能修 改 的另一类 数据 就 是 一 定 的安全 隐患 。而 且 ，CGI 让 CGI程序存取数据文件 。 PATH—INTO的服务器环境变 的交互方式是通过 “根据用户 安全建议 ：适 当调整 User 量 ，该变量 由CGIURL中紧 的请求来在服务器上运行相应 和 Group的设置 ，使它 能够存取 跟在脚本文件名之后 的任何路 的程序 ”来 实现 的 ，这种 机 制 合适 的数据 文件 。 径 信 息来 填 充。PATH—INTO 本身就是一种安全漏洞。 并且 ，CGI通过 由用 户提 变量也可 以修 改 ，黑客完全可 安全建议 ：在使用GGI脚本 供 的文件名来打开供用户访问 以利用这个变量 向服务器输入 时，要做 到 只有 在必要 时 ，才 的 文件 ，即文 件名 是提交 给 他感兴趣 的重要 信 息 的路径 。 允许 用户使 用这 类功能。 CGI脚本的一种 常见数据 。 如果 CGI脚 本 只是盲 目地 根据 在 CGI脚 本 中，可 以通 过 如果 CGI脚本 只是简单地 PATH—INTO变量 中制 定 的路 两种方式来设置上面提