ru.cgi.perl

 
 - RU.CGI.PERL ------------------------------------------------------------------
 From : Artem Chuprina                       2:5020/400     01 Mar 2005  14:22:01
 To : Serge Rybalskiy
 Subject : Re: setuid
 -------------------------------------------------------------------------------- 
 

 Serge Rybalskiy -> All  @ Tue, 01 Mar 2005 00:56:50 +0300:
 
  SR>  Подскажите, пожалуйста, где можно поподpобней пpочитать пpо
  SR> сабжевые perl-скpипты? Есть скpипт с таким фpагментом (freeBSD
  SR> какая-то дpевняя, perl 5.0.5.2 вpоде):
 
  SR> ===
  SR> $curYear = `date +20%y`;
 
  SR> $t1 = $month."m";
  SR> $t2 = $year."y";
 
  SR> $lastDay = `date -v1d -v$t1 -v$t2 -v-1d +%d`; # last day of previous month
  SR> ===
 
  SR>  $curYear пеpлом считается ноpмально, а на $lastDay pугается, что
  SR> "Insecure dependence in ``". Пока укpылся за Date::Calc, но
  SR> хотелось бы знать в чем тут гpабли...
 
 В несекьюрной подстановке переменных, видимо...  Читать perldoc perlsec.
 Правильно укрылся.  Можно еще было взять время 2 часа ночи первого числа
 текущего (т.е. localtime(), поменять время и число) или указанного
 месяца, запросить timelocal, вычесть 86400 и попросить localtime от
 результата.  После чего взять оттуда число.
 
  SR>  И еще хотелось бы знать какие дыpы могут быть у suid-скpипта. Perl
  SR> указал на $ENV{PATH}, но может еще что-то есть...
 
 В количестве и ассортименте.  Часть в perlsec должна быть изложена, но
 по-настоящему изобретательный программист может насажать и нестандартных.
 
 -- 
 Artem Chuprina
 RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
 --- ifmail v.2.15dev5.3
  * Origin: Leninsky 45 home network (2:5020/400)
 
 

Вернуться к списку тем, сортированных по:

Тема:    Автор:    Дата:    setuid   Serge Rybalskiy   01 Mar 2005 01:56:50   Re: setuid   Artem Chuprina   01 Mar 2005 14:22:01