URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 38822
[ Назад ]

Исходное сообщение
"OpenNews: Защита веб-приложений на Perl"

Отправлено opennews , 29-Окт-07 16:42 
В материале представлено (http://rusdj.chat.ru/articles/perl-webapp-protection/perl-we...) 18 правил для обеспечения безопасности web-приложений, написанных на языке Perl.

URL: http://rusdj.chat.ru/articles/perl-webapp-protection/perl-we...
Новость: http://www.opennet.me/opennews/art.shtml?num=12567


Содержание

Сообщения в этом обсуждении
"Защита веб-приложений на Perl"
Отправлено leon55 , 29-Окт-07 18:15 
на самом деле, практика показала что ломается всё что создано человеком и ломается им же.. :(

"Защита веб-приложений на Perl"
Отправлено Я , 29-Окт-07 18:21 
предлагаю сразу же писать так  - "Все сломано (c) Автор"

"Защита веб-приложений на Perl"
Отправлено vbv , 29-Окт-07 18:22 
Берем Нормальную книгу по perl + /dev/hands (по прямее). Все то-же самое.
А публиковать список правил....

"Защита веб-приложений на Perl"
Отправлено se , 29-Окт-07 18:44 
бесполезная статья.
все перечисленное - тупое пересказывание общеизвестных фактов.
imho приведи автор кусочки кода с примерами и реализацией атак на них, вышел бы толк.

"Защита веб-приложений на Perl"
Отправлено Аноним , 29-Окт-07 23:29 
вот почему чем дальше, тем больше появляется долпаепов которым обязательно надо все обосрать.
ну не нравится если тебе, то помолчи, может за умного сойдешь...

"Защита веб-приложений на Perl"
Отправлено Аноним , 29-Окт-07 23:39 
Чё за 3.14здабол писал это?
[quote]
7. Данные от пользователя без фильтрации в регулярном выражении следует использовать только так:

  $a = param 'a';
  if ( $text =~ /\Q$a\E/ )
  {
    # ...
  }
[/quote]

Он обкурился? Если кто-то это почитает и сделает так-же?


"Защита веб-приложений на Perl"
Отправлено deadl2 , 30-Окт-07 02:04 
А что не так?

"Защита веб-приложений на Perl"
Отправлено Аноним , 30-Окт-07 02:12 
А представьте что приходит вам от клиента параметр a такого вот типа:
(?{ а тут, к примеру, perl-код для открытия шела... })

в общем по статье - кг/ам. аффтар сам ни в зуб ногой, покопировал откуда-то чего нашел, и выложил.


"Защита веб-приложений на Perl"
Отправлено angra , 30-Окт-07 06:24 
"Не критикуй других на той почве, на которой сам не твердо стоишь" (с) Марк Твен
Вы бы хоть man perlre заглянули на предмет того что такое \Q\E. Так что "ни в зуб ногой" это к вам, а не автору.

P.S. на всякий случай, \E внутри $a вам не поможет


"Защита веб-приложений на Perl"
Отправлено Аноним , 30-Окт-07 10:11 
Действительно...

"Защита веб-приложений на Perl"
Отправлено Stanislaus , 30-Окт-07 11:51 
Большое спасибо автору за труд. Хоть большинство фактов и общеизвестные, он потрудился собрать их в одном месте.

Потом я, лично для себя, узнал о существовании таких WYSIWYG js эдиторов как FCKeditor, TinyMCE.

И наконец, $text =~ /\Q$a\E/ относится к тому, что я действительно не знал и у меня было полно таких дырок.


"Защита веб-приложений на Perl"
Отправлено zoonman , 30-Окт-07 12:04 
статья полезна новичку, но не профи

"Защита веб-приложений на Perl"
Отправлено Аноним , 30-Окт-07 20:54 
Действительно интересно
\Q\E

"Защита веб-приложений на Perl"
Отправлено Онанимус , 31-Окт-07 16:53 
> Как вам перспектива накрутки счетчика
> злоумышленником, либо добавление записей
> флудером при помощи метода HEAD?

очень хорошая перспектива,
но HTTP range - еще лучше.


"Защита веб-приложений на Perl"
Отправлено djandrey , 02-Ноя-07 12:33 
2: Аноним, 23:39:32, 29/10/2007; Аноним, 02:12:45, 30/10/2007

1) не покопировал, а составил из собственного опыта
и того, на что напарывались коллеги

2) читайте доки внимательно или хотябы проверяйте, перед тем, как писать такое.
для справки: все, что находится между \Q и \E в регулярке не интерполируется.

2 zoonman:

так и есть

2 all:

это далеко не всё, что можно было написать. я вспомнил ещё некоторые вещи, которые мне встречались. статья будет дополнена как минимум ещё один раз.
учту комментарии, некоторые вещи нужно поподробнее мотивировать и примеры добавить.
спасибо за отзывы.


"Защита веб-приложений на Perl"
Отправлено djandrey , 02-Янв-10 09:16 
Сайт переехал на новый домен, статья теперь живёт по этому адресу:
http://dj-andrey.ru/articles/perl-web-application-security
Она дополнена новыми пунктами (и кусочками кода, как советовал se). Чувствую, и это далеко не последняя версия, так как во время работы то и дело рождаются записи в TODO по новым пунткам.