在計(jì)算機(jī)領(lǐng)域——尤其在Internet上——盡管大部分Web服務(wù)器所編的程序都盡可能保護(hù)自己的內(nèi)容不受侵害，但只要CGI腳本中有一點(diǎn)安全方面的失誤--口令文件、私有數(shù)據(jù)、以及任何東西，就能使入侵者能訪問計(jì)算機(jī)。遵循一些簡單的規(guī)則并保持警惕能使自己的CGI腳本免受侵害，從而可以保護(hù)自己的權(quán)益。

1. 腳本和程序

在開始決定采用何種語言編寫CGI腳本時(shí)應(yīng)考慮幾個(gè)因素，其中之一應(yīng)是安全性。Shell 腳本，Perl程序和C可執(zhí)行程序是CGI腳本最常采用的形式，從安全性角度來說每種都備有優(yōu)缺。盡管沒有哪一種是最好的--基于其他方面的考慮，如速度和可重用性--每種都有實(shí)用的領(lǐng)域。

Shell腳本一般用于小的、快速的甚至可以用完就不要的CGI程序，因此，編寫它們時(shí)常常不考慮安全性。這種疏忽可以導(dǎo)致一些缺陷，使得僅對系統(tǒng)具有一般知識(shí)的人也能進(jìn)入系統(tǒng)任意走動(dòng)。

盡管Shell CGI 程序最容易寫，甚至只需拼湊一下即可，但控制它們卻很困難，因?yàn)樗鼈円话闶峭ㄟ^執(zhí)行外部的其他程序來完成工作的。這就導(dǎo)致一些可能的隱患，CGI 程序會(huì)繼承任何它使用的程序的安全問題。

例如，常用UNIX實(shí)用程序 awk對于它能處理的數(shù)據(jù)的數(shù)量有一些相當(dāng)嚴(yán)格限制。如果在CGI腳本中使用awk，那么該程序也就有了同樣的限制。Perl比Shell腳本更進(jìn)一步。Perl用于CGI編程有很多優(yōu)點(diǎn)，并且相當(dāng)安全。但Perl能給CGI 作者提供足夠的靈活性從而導(dǎo)致對安全性的錯(cuò)誤感覺。例如，Perl是解釋型的。這意味著它實(shí)際在調(diào)用時(shí)是先編譯，然后每次執(zhí)行一步。這就很容易使得不正確的用戶數(shù)據(jù)被包括進(jìn)來作為代碼的一部分，從而錯(cuò)誤地進(jìn)行解釋，形成程序中止原因。

最后談?wù)凜。C迅速成為標(biāo)準(zhǔn)應(yīng)用開發(fā)語言，幾乎所有的UNIX和windows NT系統(tǒng)都是用它開發(fā)的。從安全性的角度來看C 似乎是很不錯(cuò)，但由于它的流行性，它的好幾種安全性問題已廣為人知，而這些問題也能很容易地被人利用。

例如，C 對串處理非常差。它不做任何自動(dòng)的定位或清理而讓編程者自己處理所有事情。在處理串時(shí)，大部分C 程序員都是簡單地建立一個(gè)預(yù)定義的空間并希望它足夠大以便處理用戶輸入的任何內(nèi)容。

當(dāng)然，Shell腳本、Perl和C 不是僅有的編寫CGI腳本語言。實(shí)際上，任何可以按預(yù)定義的方式與Web服務(wù)器進(jìn)行交互的計(jì)算機(jī)語言都可以用于編寫CGI程序。在UNIX和Windows NT服務(wù)器上，數(shù)據(jù)是通過環(huán)境變量和標(biāo)準(zhǔn)輸入(stdin) 傳給腳本的，所以任何能從這兩種數(shù)據(jù)源讀取并寫入標(biāo)準(zhǔn)輸出(sidout)的語言都能用于創(chuàng)建CGI:awk、FORTRAN、C++、Basic和COBOL，等。windows的程序員可以使用流行的Visual Basic，這意味著有經(jīng)驗(yàn)的VB程序員不必去學(xué)一門新語言。Macintosh使用AppleEvents、和AppleScript與CGI程序進(jìn)行通信，所以任何可以讀寫這兩者的語言都可使用。

不過，Shell腳本(不管使用那種Shell)、Perl和C仍是最流行為的編寫CGI腳本的語言。這并不是說必須使用它們了；只是說大部程序的庫——即大部分經(jīng)過測試的安全的庫——都是用這三種語言編寫的。如果自己來選擇CGI編程語言，最好是借鑒前人的經(jīng)驗(yàn)。
2. 誰也不信

幾乎所有的CGI 安全問題都來自與用戶的交互。接收來自外部數(shù)據(jù)源的輸入之后一個(gè)簡單的、可預(yù)見的CGI程序突然向多方向伸展，每個(gè)方面都可能有最小的縫隙使得“黑客”可以溜進(jìn)來。正是與用戶的這種交互——通過表單或文件路徑——才給予了CGI 腳本這種能力，但同時(shí)也使得它們成了運(yùn)行在Web服務(wù)器上的最潛在的危險(xiǎn)部分。

編寫安全的CGI 腳本很大程度上是創(chuàng)造性和妄想的結(jié)合。編寫者必須有足夠的創(chuàng)造性才能想到用戶使用的，不管是無意地還是別的所有的可能隱含導(dǎo)致問題的發(fā)送數(shù)據(jù)的方式。而且必須有點(diǎn)妄想，因?yàn)橛锌赡懿恢朗裁磿r(shí)候、什么地方、他們將會(huì)一一加以試驗(yàn)。

2.1 兩種導(dǎo)致問題的方式

當(dāng)用戶登錄進(jìn)入Web 站點(diǎn)并開始進(jìn)行交互訪問時(shí)，他們能以兩種方式惹麻煩。一種是不遵守規(guī)則，歪曲或違反頁面中建立的每個(gè)限制或約束;另一種方式是按要求去做。

大部分CGI 腳本是作為HTML表單的后臺(tái)運(yùn)行的，負(fù)責(zé)處理由用戶輸入的信息并提供某種定制的輸出。因?yàn)樵谶@種情況下，大部分CGI 腳本編寫時(shí)都等待某種特殊格式的數(shù)據(jù)。它們期望用戶的輸入能匹配收集并發(fā)送信息的表單。不過事情并不總是這樣。用戶可以有許多種辦法繞過這些預(yù)定義的格式而給腳本發(fā)送一些看起來是隨機(jī)的數(shù)據(jù)。CGI 程序必須對此有所準(zhǔn)備。

其次，用戶可以給CGI 腳本發(fā)送所期望的數(shù)據(jù)類型，按預(yù)期的形式在表單中填入每個(gè)字段。這種類型的提交可以是想像中的來自某個(gè)與站點(diǎn)交互的無意的用戶，也可能來自某個(gè)惡意的“黑客”，憑借他有關(guān)操作系統(tǒng)和Web 服務(wù)器軟件的知識(shí)并利用常見的編程錯(cuò)誤。這些入侵，表面上一切都正常，卻是最危險(xiǎn)的、最難檢測出來。Web 站點(diǎn)安全性依賴干這種入侵的防止。

2.2 不要相信表單數(shù)據(jù)

在CGI 編程中最常見的安全失誤就是相信從表單傳到腳本的數(shù)據(jù)，用戶是未知的一大堆人，他們總能找到一些編程人員從來沒想到過的發(fā)送數(shù)據(jù)的方法--而且是程序員認(rèn)為幾乎不可能的方法。

腳本必須對這些加以考慮。例如，下面這些情形都是可能的:

1)從一組單單選按鈕中選擇的結(jié)果可能不是表單中提供的選項(xiàng)之一。

2)來自某個(gè)文本字段的數(shù)據(jù)長度可能大于MAXLENGTH字段允許的長度。

3)字段本身的名字可能與表單中指定的不相符。

2.3 不合理數(shù)據(jù)的來源


因—些無意的或是有意的原因，導(dǎo)致自己的腳本接收到不知道如何去處理的數(shù)據(jù)，有可能導(dǎo)致非預(yù)期的——同時(shí)很危險(xiǎn)的——行為。

下面的代碼實(shí)現(xiàn)了一種表單并向某個(gè)搜索yahoo！數(shù)據(jù)庫的CGI腳本送垃圾。該腳本設(shè)計(jì)得很好并且很安全，因?yàn)樗雎粤瞬徽J(rèn)識(shí)的輸入。

<FORM METHOD="POST" ACTION="http://search.yahoo.com/bin/search">
Enter your name，first then last:
<INPUT TYPE="TEXT" NAME="first">
<INPUT TYPE="TEXT" NAME="last">
</FORM

也許用戶碰巧(或者意識(shí)地)將URL編輯為這個(gè)CGI腳本。當(dāng)瀏覽器向CGI程序提交數(shù)據(jù)時(shí)，要簡單地將輸入表單中的數(shù)據(jù)連到CGI的URL上(用于GET METHODS)，就像用戶可以很容易地將Web頁面地址輸入到他的瀏覽器一樣，用戶也可以自己修改發(fā)送給這個(gè)腳本的數(shù)據(jù)。

例如，當(dāng)單擊表單上的Submit按鈕時(shí)，Netscape將一個(gè)長串字符放入Location字段，該串由CGI的URL后接一串?dāng)?shù)據(jù)組成，大部分看起來像表單中定義的NAMES和VALUES。如果愿意的話，可以自由地編輯Location字段的內(nèi)容并按自己的意愿修改數(shù)據(jù):增加表單中沒有的字段，擴(kuò)展由MAXLENGTH選項(xiàng)限制的文本數(shù)據(jù)，或者幾乎任何對象。以下顯示了某CGI腳本預(yù)期從表單中提交的URL。

http://www.altavista.digit.com/cgi-bin?pg=q&what=web&imt=&q=%22An+Entirely+Other%22

用戶可以修改同一URL，CGI腳本仍被調(diào)用，但現(xiàn)在接收的是非預(yù)期的數(shù)據(jù)。為了保證安全，該腳本應(yīng)該在編寫時(shí)就設(shè)計(jì)為能將這種輸入識(shí)別為不被要求的數(shù)據(jù)并加以拒絕。

最后，某個(gè)有野心的"黑客"也許會(huì)寫一個(gè)程序連到Web上的服務(wù)器并假裝是一個(gè)Web瀏覽器。該程序可能做一些任何一個(gè)真正的web瀏覽器從未做過的事，例如給CGI腳本發(fā)送成百兆字節(jié)的數(shù)據(jù)。如果CGI腳本不限制從POST METHOD讀取數(shù)據(jù)，那怎么辦？它有可能會(huì)崩潰，也許允許那個(gè)崩潰了系統(tǒng)的人訪問系統(tǒng)。