RU/2: Форум. Общение пользователей и разработчиков OS/2 (eCS). : Ответить на сообщение

Имя:
e-mail:
FIDO:
Home page:
сохранить данные о вас

Тема:

> > <a href="/cgi-bin/perl5.exe?gbook.cgi">Guest Book</a>
> 
> Настоятельно не советую пользоваться такой конструкцией!
> 
> Очень простой пример: такую тачку можно считать мертвой, если существует хотя бы один способ положить на этот сервер файлик -- неважно как, или у тебя там ftp-сервер стоит с открытым incoming'ом, или irc-клиент работает с включенным по умолчанию dcc get, или еще что... Вычислить, куда такой файлик попадет -- обычно несложно. А дальше:
> 
> http://yourhost.com/cgi-bin/perl5.exe?/ftproot/pub/incoming/myscript.pl
> 
> Все. В скрипте можно написать все, что угодно. Винт отформатировать, ключи pgp'шные своровать, финансовый отчет получить, али еще что.
> 
> Хуже того, perl умеет выполнять код из собственного stdin. Таким образом, если чуть поднапрячься и добыть утилитку, отсылающую веб-серверу HTTP POST-запросы, то можно просто написать
>   POST /cgi-bin/perl5.exe HTTP/1.0
> и добавить туда в качестве потока данных твой perl-код. Не поленился, специально сейчас это проверил. Работает на ура. Постер пишется на С (или том же Перле :) за 5 минут. Да и готовый найти труда не составит. Или того проще -- телнетом на 80-й порт...

_, _, _, / \ (_ / ~ ) \ / , ) / / ~ ~ ~~~