ARCHIV |
|||||
Software (10844)
Distribuce (131)
Skripty (697)
Menu
Diskuze
Informace
|
Perl (53) - Režim nakaženíProgramy, které komunikují, jsou k bezpečnostním dírám náchylné více než kterékoliv jiné. Režim nakažení do značné míry omezí rizika. Proměnné prostředíNež se pustíme do hlavního tématu, podívejme se ještě na proměnné prostředí, protože jejich znalost se nám bude při jeho studiu hodit. Proměnné prostředí jsou v Perlu dostupné poměrně jednoduše. Jsou zpřístupněny v hashi %ENV. Klíčem je vždy jméno proměnné a hodnotou její hodnota. Například seznam cest k manuálovým stránkám je v proměnné MANPATH.
print $ENV{"MANPATH"};
Obsah všech proměnných prostředí tak vytiskne tento příkaz.
print $_, "=", $ENV{$_}, "\n" for keys %ENV;
Ještě snažší přístup k proměnným prostředí umožňuje modul Env, který pro každou z nich vytvoří skalární proměnnou o stejném názvu. Seznam umístění manuálových stránek se pak tiskne takto.
Režim nakaženíU každého programu, který mohou spouštět ostatní, je třeba myslet i na kontrolu nedůvěryhodných dat. Ne každý může mít čisté záměry. Lépe řečeno - téměř vždy se najde někdo, kdo se programu pokusí podstrčit data, na jejichž základě se může nějakým způsobem poškodit systém. Řešením je všechna vstupní data důkladně kontrolovat. Ani tak ale nemusíme mít 100% jistotu. Co když někde není ošetření dokonalé? Nebo se někde dokonce na ošetření úplně zapomnělo? Od toho tu je mode tainted - nakažený režim. Jeho aktivací se z Perlu rázem stane paranoik, který podezírá vše, co podezírat lze. Všechny uživatelské vstupy jsou považovány za nebezpečné a taková data jsou označena jako nakažená. To v důsledku znamená, že s nimi nebude možné provádět nebezpečné operace, pokud je neošetříme. Nakažená data jsou veškerá data získaná ze vstupu. Co to znamená? Myslí se toto:
Režim nakažení, ač je velký pomocník, není samospasitelný. Je stále schopen zabránit pouze části programátorových chyb. AktivaceNakažený režim se zapíná uvedením přepínače -T. Skripty je proto třeba spouštět takto.
$ perl -T program.pl
Případně lze pozměnit 1. řádek skriptu, pokud je spustitelný.
#!/usr/bin/perl -T
Ukázka nakažených datPřistupme teď už k nějaké konkrétní situaci.
Jeden problém je zřejmý - $nakazena_data jsou přijata ze vstupu a nejsou bezpečná. Proto má 2. volání funkce system o problém víc. Ale co první problém? Je snad nějaký důvod, proč by neměla být funkci system předána bezpečná data? Ano, skutečně existuje ještě další nenápadný důvod. Hodnoty proměnných prostředí v hashi %ENV jsou také nakažené, což je logické. Potom jsou nakažené i hodnoty v $ENV{"PATH"} a $ENV{"ENV"}. Co kdyby byl v systémové proměnné PATH nějaký adresář, ve kterém by byl program ls, jež by dělal něco úplně něco jiného než klasické ls? Proto je třeba nastavit si vlastní PATH. Stejně tak ENV. Nyní se podívejme na další kód. Ošetřili jsme (ač nepříliš elegantně) proměnné prostředí, volání system je tedy již bezpečné a vše by mělo fungovat.
Léčení nakažených datJak ale vyřešíme náš první problém? Co když si vstup ošetříme a bude-li vyhovovat kritériím, budeme ho chtít funkci system skutečně předat? Odpověď skýtá léčení nakažených dat. Léčba probíhá pomocí regulárních výrazů. Je třeba stanovit kritéria, kdy je řetězec nakažený a kdy ne - tedy určit vzor. Pak nakažený řetězec porovnáme s tímto vzorem. Pokud testovaný řetězec vzoru vyhovuje, pak má daný řetězec požadovaný formát. To znamená, že je bezpečný. Podívejme se na příklad. Pomocí regulárního výrazu z řetězce vyseparujeme části, které vyhovují vzoru - a které jsou tedy bezpečné.
Nyní byla data uzdravena pouze v případě, že původní nakažená data obsahovala řetězec pwd nebo whoami. Žádné jiné příkazy nemohou být provedeny. Kdyby byl načten jiný řetězec, proměnná $1 by nebyla definována. Podívejme se ještě na odstrašující příklad.
Takový zápis je nebezpečný a neměl by se vůbec používat. $nakazena_data budou uzdravena, ať obsahují cokoliv. Je to jako bychom měli režim nakažení vypnutý. Testování na nakaženostPomocí výjimek lze zjistit, zda jsou určitá data nakažena či nikoliv. Zde je podprogram, který této vlastnosti využívá a předaná data testuje.
A teď můžeme testovat libovolná data na nakaženost.
Zde je patrné, že byly nakaženy 1. a 3. řetězec.
Související články
Předchozí Celou kategorii (seriál) Další
Perl (1) - Dávka teorie na úvod
Perl (2) - Úvod do syntaxe Perl (3) - Proměnné Perl (4) - Čísla a řetězce Perl (5) - Podmínky Perl (6) - Pravdivostní výrazy Perl (7) - Vstup poprvé Perl (8) - Některé základní vestavěné funkce Perl (9) - Cykly Perl (10) - Další řídící struktury Perl (11) - Pole - úvod Perl (12) - Pole - základní operace Perl (13) - Hashe Perl (14) - Další nástroje pro seznamy Perl (15) - Výchozí proměnná, heredoc, symbolické odkazy Perl (16) - Regulární výrazy - začínáme Perl (17) - Regulární výrazy - kotvy Perl (18) - Regulární výrazy - množiny znaků Perl (19) - Regulární výrazy - opakování a kvantifikátory Perl (20) - Regulární výrazy - magické závorky Perl (21) - Regulární výrazy - nahrazování Perl (22) - Regulární výrazy - přepínače Perl (23) - Regulární výrazy - rozšířené vzory Perl (24) - Regulární výrazy - příklady Perl (25) - Regulární výrazy - závěr Perl (26) - Podprogramy Perl (27) - Prototypy Perl (28) - Rozsahy platnosti proměnných Perl (29) - Úvod k práci se soubory Perl (30) - Práce se soubory Perl (31) - Testování souborů Perl (32) - Jiné typy souborů Perl (33) - Formátování výstupu - printf Perl (34) - Formátování výstupu - formáty Perl (35) - Vestavěný debugger Perl (36) - Grafické debuggery Perl (37) - Začínáme s moduly Perl (38) - Rozhraní modulu Perl (39) - Pragma Perl (40) - Dodatky k modulům Perl (41) - CPAN Perl (42) - Argumenty příkazového řádku Perl (43) - Přepínače Perl (44) - Dlouhé přepínače Perl (45) - Odkazy Perl (46) - Užití odkazů a anonymní data Perl (47) - Složitější datové struktury Perl (48) - Libovolně složité datové struktury Perl (49) - Tabulky symbolů a typegloby Perl (50) - Uzávěry a iterátory Perl (51) - Signály Perl (52) - Externí příkazy Perl (54) - Fork Perl (55) - Eval Perl (56) - Volby příkazu perl Perl (57) - Jednořádkové skripty Perl (58) - OOP - úvod Perl (59) - OOP - typické použití Perl (60) - OOP - dědičnost Perl (61) - OOP - přínos a užití dědičnosti Perl (62) - OOP - přetěžování Perl (63) - OOP - závěr Perl (64) - Projekt - čtečka sportovních výsledků Perl (65) - Projekt - získání dat Perl (66) - Projekt - výběr zápasů a podrobnosti Perl (67) - Projekt - dokončujeme modul Perl (68) - Projekt - zobrazení zápasů Perl (69) - Projekt - online přenos Perl (70) - Plain Old Documentation Perl (71) - Navazování proměnných Perl (72) - Navazování složitějších datových typů Perl (73) - DBM Perl (74) - Sockety Perl (75) - Obsluha více klientů Perl (76) - Síťová hra v kostky Perl (77) - Služby internetu Perl (78) - Databáze - úvod Perl (79) - Databáze - manipulace s daty Perl (80) - Databáze - závěrečné poznámky Perl (81) - CGI - příprava webového serveru Perl (82) - CGI - první skripty Perl (83) - CGI - získávání dat od uživatele Perl (84) - CGI - usnadnění tvorby skriptů pomocí modulu CGI Perl (85) - CGI - generování dokumentu modulem CGI Perl (86) - CGI - cookies Perl (87) - CGI - příklad aplikace Perl (88) - CGI - závěr Perl (89) - Mason - snadné psaní webů Perl (90) - Mason - speciální bloky Perl (91) - Mason - handlery Perl (92) - Mason - závěr Perl (93) - Catalyst - MVC framework pro Perl Perl (94) - Catalyst - základy pro psaní aplikace Perl (95) - Catalyst - šablony Perl (96) - Catalyst - spolupráce s databází Perl (97) - Curses - tvorba textových uživatelských rozhraní Perl (98) - Curses - pozicování a okna Perl (99) - Curses - měření rychlosti psaní Perl (100) - Curses - použití hotových widgetů Perl (101) - Curses - jednoduchý textový editor Perl (102) - Rozšiřování Perlu pomocí XS Perl (103) - Rozšiřování Perlu pomocí SWIG Perl (104) - Testování rychlosti Perl (105) - Testování programových jednotek Perl (106) - Debugování pomocí komentářů Perl (107) - Moose - moderní objektový systém Perl (108) - Moose - základní vlastnosti Perl (109) - Moose - role Perl (110) - Moose - meta API Perl (111) - Pokročilá práce se seznamy Perl (112) - Práce s PDF Perl (113) - Práce s archivy Perl (114) - Tk - úvod Perl (115) - Tk - umísťování widgetů Perl (116) - Tk - základní widgety Perl (117) - Tk - některé pokročilejší widgety Perl (118) - Tk - čas a události Perl (119) - Tk - CD man Perl (120) - Wx - základní práce s widgety Perl (121) - Wx - události Perl (122) - Gtk2 - úvod Perl (123) - Gtk2 - základní práce s obrázky Perl (124) - Gtk2 - události a čas Perl (125) - Gtk2 - vlastní widgety Perl (126) - Gtk2 - textové okno a práce s pozicemi Perl (127) - Gtk2 - hierarchické seznamy Perl (128) - Gtk2 - dialogy Perl (129) - Gtk2 - skládání widgetů Perl (130) - Gtk2 - menu a toolbary Perl (131) - Gtk2 - transparentní okna, tray ikona, výběr souborů Perl (132) - Gtk2 - drag&drop, druid Perl (133) - Gtk2 - úpravy vzhledu aplikací pomocí rc Perl (134) - Gtk2 - Glade Interface Designer Perl (135) - XML - čtení a zápis Perl (136) - XML - DOM a SAX přístupy Perl (137) - Vlákna Perl (138) - Memoizace - cachování podprogramů Perl (139) - Profilling - efektivní odhalování pomalých míst v programu Perl (140) - Profilling - píšeme si vlastní profiler / debugger Perl (141) - Formátování kódu, deparsování, perltidy Perl (142) - Způsoby konfigurování Perl (143) - Struktura datových typů, správa paměti Perl (144) - POE - událostmi řízené programování Perl (145) - POE - aplikace typu klient-server Perl (146) - Perl 6 - jazyk budoucnosti Perl (147) - Perl 6 - regulární výrazy, nové operátory Perl (148) - Perl Culture Perl (149) - Závěr Pozvánka na Český Perl Workshop Perl 5.22.0 a vše okolo Perl 5.24.0 a vše okolo Předchozí Celou kategorii (seriál) Další
|
Vyhledávání software
Vyhledávání článků
28.11.2018 23:56 /František Kučera 12.11.2018 21:28 /Redakce Linuxsoft.cz 6.11.2018 2:04 /František Kučera 4.10.2018 21:30 /Ondřej Čečák 18.9.2018 23:30 /František Kučera 9.9.2018 14:15 /Redakce Linuxsoft.cz 12.8.2018 16:58 /František Kučera 16.7.2018 1:05 /František Kučera
Poslední diskuze
31.7.2023 14:13 /
Linda Graham 30.11.2022 9:32 /
Kyle McDermott 13.12.2018 10:57 /
Jan Mareš 2.12.2018 23:56 /
František Kučera 5.10.2018 17:12 /
Jakub Kuljovsky | |||
ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2024) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze |