使用Dancer::Plugin::Email模块时,您应该检查用户输入是否有恶意数据,或输入是否自动受污染等?
虽然Dancer具体,但在一般情况下,服务器以root身份运行并且不受信任的用户输入传递系统(" rm -rf *")或其他某些行然后被送到sendmail可执行文件会带来风险并打开蠕虫病毒吗?
这就是为什么建议将网络服务器作为有限权限用户运行的原因吗?
答案 0 :(得分:1)
我不知道有任何方法可以使用Dancer :: Plugin :: Email来运行任意命令,如果有的话,你可能会在Email::Sender中找到它,这是与{{{ 1}}。通过将普通参数传递给Email :: Sender来运行任意命令肯定是一个错误。
是否应检查用户输入的恶意数据
不,您应该检查用户输入是否符合您设置的条件。
区别很重要。
对于导致发送电子邮件的路由,请确保尽可能多的数据来自您信任的来源(即不是请求),并且只有在有充分理由的情况下请求/用户用户输入。
这就是为什么建议将网络服务器作为有限权限用户运行的原因吗?
使用最低权限执行代码(尤其是面向公众的Web应用程序)是一种好习惯,不是因为存在已知的安全漏洞,而是因为可能存在您不了解的漏洞。