RU/2: Форум. Общение пользователей и разработчиков OS/2 (eCS). : Настройка Perl - проблемы Apache?


Список сообщений | Написать новое | Ответить на сообщение | Домой Поиск:
Предыдущее сообщение | Следующее сообщение
From : Dmitry I. Platonoff
To : Попов Роман
Subj : Настройка Perl - проблемы Apache?
> <a href="/cgi-bin/perl5.exe?gbook.cgi">Guest Book</a>

Настоятельно не советую пользоваться такой конструкцией!

Очень простой пример: такую тачку можно считать мертвой, если существует хотя бы один способ положить на этот сервер файлик -- неважно как, или у тебя там ftp-сервер стоит с открытым incoming'ом, или irc-клиент работает с включенным по умолчанию dcc get, или еще что... Вычислить, куда такой файлик попадет -- обычно несложно. А дальше:

perl5.exe

Все. В скрипте можно написать все, что угодно. Винт отформатировать, ключи pgp'шные своровать, финансовый отчет получить, али еще что.

Хуже того, perl умеет выполнять код из собственного stdin. Таким образом, если чуть поднапрячься и добыть утилитку, отсылающую веб-серверу HTTP POST-запросы, то можно просто написать
POST /cgi-bin/perl5.exe HTTP/1.0
и добавить туда в качестве потока данных твой perl-код. Не поленился, специально сейчас это проверил. Работает на ура. Постер пишется на С (или том же Перле :) за 5 минут. Да и готовый найти труда не составит. Или того проще -- телнетом на 80-й порт...

Mon 03 Dec 2001 18:39 Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; msnca)



Programmed by Dmitri Maximovich, Dmitry I. Platonoff, Eugen Kuleshov.
25.09.99 (c) 1999, RU/2. All rights reserved.
Rewritten by Dmitry Ban. All rights ignored.