從一個安裝檔案看CGI的安全性 (轉)

從一個安裝檔案看CGI的安全性 (轉)[@more@] 

舊版的文章，原來曾一度找不到了，今天無意中發現，特發表與此：

曾發表與2001年11月25日的西路花園，舊版的文章，原來曾一度找不到了，今天無意中發現...

西路留言本剛剛推出2.0版本的時候，我出現了致命錯誤。本來這個錯誤是可以避免的，但是我向來的惰性導致了不良的後果。當時好象是8月底還是9月初，反正我也記不起來了，你們可以看看2.1版本是好久推出的就知道了，2.1版本出前的一天，我被一條測試留言本上的資訊驚呆了，他說安全性太差了，並明確指出setup.txt用可以直接瀏覽，並反饋給任何人超級管理員名字和密碼。他威脅說：“不要告訴我你所有的密碼都是這個。”實際上我所有的密碼，包括都是一樣的。幸好他只是提醒。我馬上修改了這個錯誤。但是由此卻引出一些思考！

首先，.txt檔案拿來做資訊檔案本意是為了加快的執行速度，但是沒有想到.txt會被瀏覽，如果是.cgi檔案的話（僅僅是副檔名改了一下）也不會出現這種問題，因為裡面的安裝資訊沒有print "Content-type: text/htmlnn";是不會輸出到瀏覽器的。還有就是屬性問題，原來以為只要能執行就無所謂，但是卻錯了，如果當時把屬性設為666，或許理論上不會洩露，但我當時試了.txt，還是回被輸出到瀏覽器！所以告戒Perl愛好者們不要一味的追求速度，安全也是很重要的。