我有一个相当简单的问题,但到目前为止在互联网上找不到答案: 攻击者可以通过任何方式从网页上下载CGI脚本(Perl,Python等)?
换句话说:在cgi脚本中包含敏感信息(例如,访问其他服务的访问密钥)是否存在安全风险?
谢谢!
答案 0 :(得分:2)
攻击者是否可以通过任何方式从网页下载CGI脚本(Perl,Python等)?
Web服务器的设计试图防止这种情况发生,但是Web应用程序的设计应假定这种情况。 -即不是它应该如何工作,但这并非罕见。是否可行取决于您问这个问题的原因。
黑客可能有一种方法,可以从您的网页上下载脚本,前提是该攻击者值得他们有时间这样做。
This answer到另一个问题(尽管与PHP有关,但原理相同),详细解释了可能导致漏洞利用的一些因素。
在cgi脚本中包含敏感信息(例如,访问其他服务的密钥)是否存在安全风险?
是的。尽管总是存在风险,并且该风险的可接受性取决于您的应用程序和特定的权衡取舍,但这种特定情况存在两个主要缺陷(如果不更多的话):
即使私钥仅访问了免费层的虚拟机,该虚拟层什么也没有做,只是返回了您所在城市的天气,您至少应采用一种模型,其中Web服务器用户无法访问私钥(即www-数据等)。也就是说,您可以让CGI处理程序将参数/参数简单地传递给另一个本地服务,以解析和调用所需的操作。