從一個安裝文件看CGI的安全性

舊版的文章，原來曾一度找不到了，今天無意中發現，特發表與此：

曾發表與2001年11月25日的西路網絡花園，舊版的文章，原來曾一度找不到了，今天無意中發現...

西路留言本剛剛推出2.0版本的時候，我出現了致命錯誤。本來這個錯誤是可以避免的，但是我向來的惰性導致了不良的后果。當時好象是8月底還是9月初，反正我也記不起來了，你們可以看看2.1版本是好久推出的就知道了，2.1安全版本出前的一天，我被一條測試留言本上的信息驚呆了，他說安全性太差了，并明確指出setup.txt文件用瀏覽器可以直接瀏覽，并反饋給任何人超級管理員名字和密碼。他威脅說：“不要告訴我你所有的密碼都是這個?！睂嶋H上我所有的密碼，包括服務器都是一樣的。幸好他只是提醒。我馬上修改了這個錯誤。但是由此卻引出一些思考！

首先，.txt文件拿來做安裝信息文件本意是為了加快Perl的運行速度，但是沒有想到.txt會被瀏覽，如果是.CGI文件的話（僅僅是擴展名改了一下）也不會出現這種問題，因為里面的安裝信息沒有print "Content-type: text/html\n\n";是不會輸出到瀏覽器的。還有就是屬性問題，原來以為只要能運行就無所謂，但是卻錯了，如果當時把屬性設為666，或許理論上不會泄露，但我當時試了.txt，還是回被輸出到瀏覽器！所以告戒Perl愛好者們不要一味的追求速度，安全也是很重要的。

原文轉自：http://www.kjueaiud.com