В материале представлено (http://rusdj.chat.ru/articles/perl-webapp-protection/perl-we...) 18 правил для обеспечения безопасности web-приложений, написанных на языке Perl.

URL: http://rusdj.chat.ru/articles/perl-webapp-protection/perl-we...
Новость: http://www.opennet.me/opennews/art.shtml?num=12567

• Защита веб-приложений на Perl,leon55, 18:15 , 29-Окт-07
  • Защита веб-приложений на Perl,Я, 18:21 , 29-Окт-07
• Защита веб-приложений на Perl,vbv, 18:22 , 29-Окт-07
• Защита веб-приложений на Perl,se, 18:44 , 29-Окт-07
• Защита веб-приложений на Perl,Аноним, 23:29 , 29-Окт-07
• Защита веб-приложений на Perl,Аноним, 23:39 , 29-Окт-07
  • Защита веб-приложений на Perl,deadl2, 02:04 , 30-Окт-07
    • Защита веб-приложений на Perl,Аноним, 02:12 , 30-Окт-07
      • Защита веб-приложений на Perl,angra, 06:24 , 30-Окт-07
        • Защита веб-приложений на Perl,Аноним, 10:11 , 30-Окт-07
• Защита веб-приложений на Perl,Stanislaus, 11:51 , 30-Окт-07
• Защита веб-приложений на Perl,zoonman, 12:04 , 30-Окт-07
• Защита веб-приложений на Perl,Аноним, 20:54 , 30-Окт-07
• Защита веб-приложений на Perl,Онанимус, 16:53 , 31-Окт-07
• Защита веб-приложений на Perl,djandrey, 12:33 , 02-Ноя-07
• Защита веб-приложений на Perl,djandrey, 09:16 , 02-Янв-10

на самом деле, практика показала что ломается всё что создано человеком и ломается им же.. :(

предлагаю сразу же писать так  - "Все сломано (c) Автор"

Берем Нормальную книгу по perl + /dev/hands (по прямее). Все то-же самое.
А публиковать список правил....

бесполезная статья.
все перечисленное - тупое пересказывание общеизвестных фактов.
imho приведи автор кусочки кода с примерами и реализацией атак на них, вышел бы толк.

вот почему чем дальше, тем больше появляется долпаепов которым обязательно надо все обосрать.
ну не нравится если тебе, то помолчи, может за умного сойдешь...

Чё за 3.14здабол писал это?
[quote]
7. Данные от пользователя без фильтрации в регулярном выражении следует использовать только так:

  $a = param 'a';
  if ( $text =~ /\Q$a\E/ )
  {
    # ...
  }
[/quote]

Он обкурился? Если кто-то это почитает и сделает так-же?

А что не так?

А представьте что приходит вам от клиента параметр a такого вот типа:
(?{ а тут, к примеру, perl-код для открытия шела... })

в общем по статье - кг/ам. аффтар сам ни в зуб ногой, покопировал откуда-то чего нашел, и выложил.

"Не критикуй других на той почве, на которой сам не твердо стоишь" (с) Марк Твен
Вы бы хоть man perlre заглянули на предмет того что такое \Q\E. Так что "ни в зуб ногой" это к вам, а не автору.

P.S. на всякий случай, \E внутри $a вам не поможет

Действительно...

Большое спасибо автору за труд. Хоть большинство фактов и общеизвестные, он потрудился собрать их в одном месте.

Потом я, лично для себя, узнал о существовании таких WYSIWYG js эдиторов как FCKeditor, TinyMCE.

И наконец, $text =~ /\Q$a\E/ относится к тому, что я действительно не знал и у меня было полно таких дырок.

статья полезна новичку, но не профи

Действительно интересно
\Q\E

> Как вам перспектива накрутки счетчика
> злоумышленником, либо добавление записей
> флудером при помощи метода HEAD?

очень хорошая перспектива,
но HTTP range - еще лучше.

2: Аноним, 23:39:32, 29/10/2007; Аноним, 02:12:45, 30/10/2007

1) не покопировал, а составил из собственного опыта
и того, на что напарывались коллеги

2) читайте доки внимательно или хотябы проверяйте, перед тем, как писать такое.
для справки: все, что находится между \Q и \E в регулярке не интерполируется.

2 zoonman:

так и есть

2 all:

это далеко не всё, что можно было написать. я вспомнил ещё некоторые вещи, которые мне встречались. статья будет дополнена как минимум ещё один раз.
учту комментарии, некоторые вещи нужно поподробнее мотивировать и примеры добавить.
спасибо за отзывы.

Сайт переехал на новый домен, статья теперь живёт по этому адресу:
http://dj-andrey.ru/articles/perl-web-application-security
Она дополнена новыми пунктами (и кусочками кода, как советовал se). Чувствую, и это далеко не последняя версия, так как во время работы то и дело рождаются записи в TODO по новым пунткам.