Есть ли способ, которым злоумышленник может загрузить CGI Script (Perl, Python и т. Д.) С веб-страницы?
Дизайн веб-серверов пытается предотвратить это, но дизайнвеб-приложений должны принять это.То есть это не так, как это должно работать, но это совсем не редкость.Возможно ли это, зависит от того, почему вы задаете вопрос.
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *.на вашу веб-страницу, если у него был вектор атаки, который стоил того, чтобы это сделать.
Этот ответ на другой вопрос (хотя в отношении PHP принципы совпадают),подробно объясняет некоторые факторы, которые могут привести к эксплойту.
Является ли угрозой безопасности наличие в скрипте cgi разумной информации (например, ключей доступа к другой службе)?
Да.Хотя риск всегда существует, и приемлемость этого риска зависит от вашего приложения и конкретных компромиссов, этот конкретный сценарий имеет два основных недостатка (если не больше):
- Если что-то пошло не так с вашим сервером, илиОбработчик CGI, у вас может быть общедоступный текстовый файл
- Это просто , поэтому, так просто , просто , а не , чтобы поместить закрытый ключ туда.
Даже если закрытый ключ обращался к виртуальной машине только на бесплатном уровне, который ничего не делал, только возвращал погоду в вашем местном городе, вы должны хотя бы использовать модель, в которой закрытые ключи недоступны для пользователя веб-сервера (например, www-данные и т. д.).т. е. ваш обработчик CGI может просто передать параметры / аргументы другой локальной службе для анализа и вызова необходимых действий.