假设攻击者控制变量$untrusted_user_supplied_path。以下Perl代码是否可以利用?
my $untrusted_user_supplied_path = ...
if ($untrusted_user_supplied_path =~ /\.\./) {
die("Tries to escape homedir.");
}
my $base_path = "/home/username/";
my $full_path = "${base_path}${untrusted_user_supplied_path}";
if (-e $full_path) {
open(FILE, "<", $full_path) || die("File not accessible.");
while (<FILE>) {
# present the content to the user
}
close(FILE);
}
如果攻击者可以选择$untrusted_user_supplied_path的值,以便他/她可以读取驻留在不是$base_path的子目录的目录中的文件,则将代码定义为可利用的(说/etc/passwd)?
您可以假设代码在Linux下运行。此外,您可以假设在向用户提供文件的代码中没有引入附加缺陷。
请注意,问题是代码是否正确
可利用的,而不是如何使代码更安全。有很多
使代码更安全的方法(想想chroot等),但那就是
超出了这个问题的范围。如果你的话,请在你的答案中说明
相信代码是可利用的。当然,拜托
提供支持论证。
答案 0 :(得分:9)
如果homedir内的符号链接存在于外面的某个地方,那么你仍然有问题。
答案 1 :(得分:9)
您在询问您的代码是否可以利用。是。所有代码都可以利用。你可能不认为这是因为你认为你已经涵盖了你可以考虑的情况,但另一方通常会发现你没有想过的情况。但是,我总是说所有的枪都装满了。
安全不仅仅是代码。您必须考虑它运行它的环境,用户在运行代码之前还允许做什么等等。
如果您真的担心此代码可能会发生什么,请创建风险矩阵。从您担心的部分开始,列出其所有假设。例如,在您的情况下,您可以从:
开始perl我认为我(找不到可执行文件时没有路径攻击)PERL5LIB,PERL5OPT或-I没有预加载模块加载路径(在查找模块时没有路径攻击)依此类推。一旦您开发了所有假设,就可以通过锁定这些案例来确保它们有效。您还可以找到他们所有的假设,并锁定这些假设,依此类推。 Perl的taint checking将帮助其中一些(我在Mastering Perl中更深入地讨论它)。
成功的攻击往往是间接攻击。例如,我是一份工作的一部分,以确保一个非常富有和偏执银行的数据。我们完成了所有可以做的计算机工作,我的一位同事在闲聊中询问他们在安装服务器之前是如何完成任务的。他们说,“哦,数据是在某某桌子上的活页夹上”。尽管我们所有的工作,他们的工资,以及每个人的时间和精力,但无论我们对服务器采取什么行动,内部任何想要数据的人都可以完全放弃它。
现在您已拥有风险矩阵,即可开始提高风险承受能力。没有什么是完美的,你可以努力将宇宙锁定在一切之下。您不必完美,而是决定您愿意为代码的每个部分承担多大的风险。你弄清楚如果一部分受到损害可能会发生什么,以及花费多少(以美元,声誉,等等),并找出对你(或你的雇主)有多少工作价值。你做的工作足够低于你的风险承受能力。
问题是,即使是最好的人也会错过一些东西。安全方面的小裂缝可能看起来并不重要,但如果你把足够的东西放在一起,你最终可以将自己引导到一个可利用的局面。安全是全面的。
答案 2 :(得分:1)
虽然你的考试有点严厉,但对我来说这看起来很合理。您可能需要考虑更换:
/\.\./
使用:
m{/\.\./}
允许访问包含两个点的文件和目录。它仍然不会允许像dir1/../dir2/filename那样令人费解但可能有效的访问,尽管你可能不会太担心。
答案 3 :(得分:1)
我要违反你的房屋规则并建议你这样做:
use Cwd;
my $full_path = "${canonical_base_path}${untrusted_user_supplied_path}";
my $canonical_full_path = abs_path($full_path);
if (substr($canonical_full_path, 0, length($base_path)) != $base_path) {
die("Tries to escape homedir.");
}
这应该是不漏水的。但它确实要求$ base_path是规范的。
答案 4 :(得分:0)
是否可利用取决于向用户呈现文件的代码。在那段代码中不一定存在“缺陷”,就像做你没想过的事情的机会一样。