ru.cgi.perl

 
 - RU.CGI.PERL ------------------------------------------------------------------
 From : Victor Wagner                        2:5020/400     24 Jun 2002  11:02:33
 To : Sergey Melnikov
 Subject : Re: Защита от хака в строке URL
 -------------------------------------------------------------------------------- 
 

 Sergey Melnikov <Sergey.Melnikov@p5.f1.n5064.z2.fidonet.org> wrote:
 
 SM> Привет, All!
 
 SM>  Достаточно ли для защиты от хака после декодиpования стpоки URL
 SM> пpовеpять ее на наличие стpок ` и qx?
 
 Hе достаточно. Если в строку потом производится интерполяция переменных
 то сработает, например
 
 "foo @[ system("rm -rf /")] bar";
 
 There is more than one way to do it. И хакер знает их больше, чем ты.
 
 Поэтому единственной надежной защитой от хака является четкое понимание
 что может быть сделано с каждым символом из введенных данных.
 SM>  Может ли скpипт узнать, сколько его экземпляpов уже pаботает на
 SM> сеpвеpе?
 
 Может, если ты реализуешь систему учета, например в маленьком файлике.
 
 Писать надо аккуратно, помня о том, какие операции атомарные, а какие
 нет.
 -- 
 http://www.communiware.ru                     http://www.ice.ru/~vitus
 --- ifmail v.2.15dev5
  * Origin: Leninsky 45 home network (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    Защита от хака в строке URL   Sergey Melnikov   24 Jun 2002 08:59:12   Re: Защита от хака в строке URL   Victor Wagner   24 Jun 2002 11:02:33   Защита от хака в строке URL   Sergey Melnikov   25 Jun 2002 12:05:18   Re: Защита от хака в строке URL   Victor Wagner   25 Jun 2002 18:52:14   Re: Защита от хака в строке URL   Artem Chuprina   25 Jun 2002 18:58:19   Re: Защита от хака в строке URL   Ilya Anfimov   24 Jun 2002 11:51:38