Taint: Runtime. Taint :: Runtime è un runtime abilitare il modulo di controllo del tasto.
Scarica ora

Taint: Runtime. Classifica e riepilogo

Taint: Runtime. Tag

controllore modulo Perl runtime macchia controllo della contaminazione Taint Runtime.

Taint: Runtime. Descrizione

Taint :: Runtime è un runtime di abilitazione modulo di controllo contaminazione. Taint :: Runtime è un runtime consentono contaminazione controllo module.SYNOPSIS ### campione "abilitare" utilizzo # / usr / bin / perl -w utilizzare Taint :: Runtime qw (abilitare taint_env!); taint_env (); # Avere la parola chiave di abilitazione nella lista di importazione inizia a macchia ### $ campione utilizzo TAINT # / usr / bin / perl -w utilizzare Taint :: Runtime qw ($ TAINT taint_env!); $ TAINT = 1; taint_env (); # Contaminazione è ora abilitato se (1) {local $ TAINT = 0; ! # Fare qualcosa che la fiducia} # torna ad una zona untrustwory ### campione funzionale utilizzo # / usr / bin / perl -w use strict; utilizzare Taint :: Runtime qw (taint_start is_tainted taint_env macchia untaint taint_enabled); ### altre operazioni qui taint_start (); # Contaminazione dovrebbe diventare taint_env attiva (); #% ENV è stata di stampa precedentemente incontaminata taint_enabled ()? "Enabledn": "Non enabledn"; my $ var = taint ( "qualche stringa"); print is_tainted ($ var)? "Taintedn": "Non taintedn"; $ Var = untaint ($ var); # O untaint $ var; print is_tainted ($ var)? "Taintedn": "Non taintedn"; In primo luogo - che probabilmente non dovrebbe utilizzare questo modulo per contaminazione di controllo. Probabilmente si dovrebbe utilizzare l'opzione -T sulla riga di comando, invece. Ci sono un numero piuttosto limitato di casi d'uso legittimi in cui si dovrebbe usare questo modulo al posto dello switch -T. A meno che non si dispone di una specifica e una buona ragione per non usare l'opzione -T, è necessario utilizzare il -T option.Taint è una buona cosa. Tuttavia, poche persone (che io lavoro con o parlare o discutere di oggetti con) l'uso Taint anche se dovrebbero. L'obiettivo di questo modulo non è quello di utilizzare macchia di meno, ma in realtà incoraggiarne l'uso di più. Questo modulo mira a rendere utilizzando macchia più indolore possibile (Questo può essere un argomento contro di esso - spesso implementazione della sicurezza implica dolore - così togliendo dolore potrebbe Lessen sicurezza - sorta di) .In generale - il più sicuro le vostre esigenze di script di essere - la precedenza nel vostro programma che tainting dovrebbe essere attivata. Per la maggior parte degli script setuid, dovete abilitare la contaminazione utilizzando l'interruttore -T. Senza fare in modo da consentire un utente non root per ignorare @INC che consente loro di mettere il proprio modulo al posto di moduli di fiducia. Questo non va bene. Questo è molto cattivo. Utilizzare la -T switch.There sono alcuni luoghi comuni in cui questo modulo può essere utile, e dove la maggior parte delle persone non lo usano. Uno di questi luoghi è in un server web. Lo switch -T rimuove PERL5LIB e PERLLIB e '' da @INC (o rimuoverli prima che possano essere aggiunti). Questo ha senso sotto setuid. L'uso dello switch -T in un ambiente CGI può causare un po 'di mal di testa. Per un nuovo sviluppo, script CGI può essere possibile utilizzare l'interruttore -T e per gli ambienti mod_perl c'è la variabile PerlTaint. Entrambi questi metodi consentirà contaminazione e da quel momento in poi lo sviluppo deve essere fatto con taint.However, molti (forse la maggior parte) implentations del server web perl aggiungere i propri percorsi alla PERL5LIB. Tutti gli script CGI e mod_perl possono quindi avere accesso. Utilizzando l'opzione -T getta una chiave nelle opere come improvvisamente scompare PERL5LIB (mod_perl può facilmente avere le directory in più aggiunti ancora una volta utilizzando spingere @INC, '/ nostra / lib / dir'; ). Il lavoro azienda che per ha 200 più utenti script visibili mescolato con un po 'di mod_perl. Attualmente nessuno degli script usa contaminazione. Vorremmo che per tutti loro, ma al momento non è fattibile per fare il cambiamento tutto in una volta. Taint :: Runtime permette di spostare gli script legacy su uno alla time.Again, se si utilizza setuid - non utilizzare questo script.If non si sta utilizzando setuid e hanno motivi per non utilizzare la -T e si utilizza questo modulo , assicurarsi che contaminazione sia abilitato prima di elaborare i dati utente. Si ricorda inoltre che, poiché il parametro -t non è stato utilizzato% ENV inizialmente non è contrassegnato come INFICIATO. Chiamata taint_env () per contrassegnare come contaminato (particolarmente importante negli script CGI che tutti letti da $ ENV { 'QUERY_STRING'}). Se non si utilizza l'interruttore -T, molto probabilmente dovrebbe usare il seguente al vertice di ! lo script: # / usr / bin / perl -w use strict; uso Taint :: Runtime qw (abilitare taint_env); taint_env (); Anche se questo modulo permette di attivare taint off - probabilmente non dovrebbe. Questo modulo è più per di attivare taint via - e una volta che è su di esso probabilmente dovrebbe rimanere. Requisiti: · Perl.

Taint: Runtime. Software correlato