污染模式
Perl中的一些特性可以帮助你写出安全的程序。当然这些手段无法取代细致的思考和规划,但是能帮助你避免一些微妙的错误。
所谓污染模式就是对所有来自程序之外数据附加上一个元数据以便来跟踪它们。从被污染的数据(脏数据)中生成出来的数据也是被污染的。你可以在程序中使用被污染的数据,但是如果使用脏数据会影响程序之外的内容(不安全的使用方式),Perl就会抛出致命异常。
使用污染模式
perldoc perlsec介绍了污染模式的具体细节。
使用命令行参数-T就会启动污染模式。如果-T写在#!行当中,就必须直接运行程序,如果你忽略-T标志使用perl mytaintedappl.pl来启动程序,Perl就会抛出异常并退出。
污染源
污染来自2个地方:文件输入和程序环境。前者就是指你从文件读到的或从网站、网络用户那收集到的内容。后者包括所有的命令行参数、环境变量和来自于系统调用的数据,甚至从目录句柄中读取到的数据也是被污染的。
核心模块Scalar::Util中的函数tainted()用于测试是否被污染,如果参数是被污染的就返回真:
die 'Oh no! Tainted data!' if Scalar::Util::tainted( $suspicious_value );
从数据中解除污染
要净化数据你就必须精确地提取数据中好的部分。比如如使用正则表达式来捕获,捕获到的数据就是干净数据。例如,如用户输入中包含电话号码,你可以这样解除污染:
die 'Number still tainted!' unless $number =~ /(\(/d{3}\) \d{3}-\d{4})/;
my $safe_number = $1;
匹配的模式越细致,你的程序就越安全。相反的做法是拒绝指定的项目或忽略风险而运行。当然你也可以捕获整个值来解除污染,但是这样就失去了使用污染模式的价值。
从环境中解除污染
全局变量%ENV里面有程序所在系统的环境变量。该变量是被污染的,原因是程序之外的力量可以操纵该值。环境变量控制着Perl或shell如何定位文件和目录,这也是一个攻击向量。一个安全敏感的程序应该删除%ENV中的一些键,并且设置$ENV{PATH}到一个安全的路径:
delete @ENV{ qw( IFS CDPATH ENV BASH_ENV ) };
$ENV{PATH} = '/path/to/app/binaries/';
如果$ENV{PATH}设置的不当就会收到报告其不安全的消息。如果环境变量包含了当前工作目录,或者包含了相关目录,或者指定的目录是全局可写的权限,那么聪明的攻击者就可以劫持系统调用来进行恶意攻击。
出于类似的原因,@INC在污染模式下并不包含当前工作目录。Perl也会忽略PERL5LIB和PERLLIB环境变量。使用lib编译指示或者使用-l标志来添加库目录到程序。
常见陷阱
污染模式只有打开和关闭2种状态,也就是要么全有要么全无。有时候需要部分解除污染的时候,就会有人过度放开(比如之前的全面捕获),这时候污染模式就没有起到应有的作用,所以要仔细审查污染解除的规则。
不幸的是,并不是所有模块都会妥善处理被污染的数据,CPAN作者应认真对待这个BUG。如果面对的是历史遗留代码,你可以考虑使用-t标志,这个标志会启用污染模式但是会将违规的告警从异常降为警告(也就是不再退出),但这个并不是完整的污然模式。(在不能使用完整污染模式下的一种折中方案)
