Forum Webscript.Ru

Программирование => Perl => Тема начата: koliama от 11 Июня 2004, 15:55:25

Название: КАк правильно вызвать внешнюю программу, не нарушая безопасности скрипта?
Отправлено: koliama от 11 Июня 2004, 15:55:25

Доброго всем дня.

Пишу следующую конструкцию
#!/usr/local/bin/perl -wT

use strict;
use IO::File;

my $file = new IO::File "/usr/local/bin/traflog -n -i lnc0 -a -o nik |" or die "Not run program traflog: $!\\n";

while(defined(my $line = <$file>))
{
    chomp();
    #$_ = $line;
    my ($src_ip, $sport, $dst_ip, $dport, $proto, $fday, $fmonth, $fyear, $ftime, $fsize ) = split(/\\s+/);
    my $year = 2000+$fyear;
    my $fdate = "$year-$fmonth-$fday";
    my $id;
    $add -> execute( $id, $src_ip, $sport, $dst_ip, $dport, $proto, $fdate, $ftime, $fsize );
}
где строка my $file = new IO::File "/usr/local/bin/traflog -n -i lnc0 -a -o nik |" - закладывает в переменную $file выходной поток из программы traflog

При попытке запустить этот скрипт перл ругается
Insecure $ENV{PATH} while running with -T switch at ./traf_to_mysql.pl line 21.
Как можно по другому переписать данную конструкцию?

Название: КАк правильно вызвать внешнюю программу, не нарушая безопасности скрипта?
Отправлено: NeoNox от 11 Июня 2004, 16:49:45

perldoc perldiag

Цитировать

      Insecure $ENV{%s} while running %s
           (F) You can\'t use system(), exec(), or a piped open in
           a setuid or setgid script if any of $ENV{PATH},
           $ENV{IFS}, $ENV{CDPATH}, $ENV{ENV} or $ENV{BASH_ENV}
           are derived from data supplied (or potentially supґ
           plied) by the user.  The script must set the path to a
           known value, using trustworthy data.  See perlsec.

Название: КАк правильно вызвать внешнюю программу, не нарушая безопасности скрипта?
Отправлено: koliama от 11 Июня 2004, 18:21:25

NeoNox
а не поясните мне что означает понятие taint mode в perlsec?

Название: КАк правильно вызвать внешнюю программу, не нарушая безопасности скрипта?
Отправлено: koliama от 11 Июня 2004, 18:30:52

если я правильно понимаю, то надо в скрипте указать $ENV{PATH} - системные пути (каталоги) в которых разрешен запуск программ?

Название: КАк правильно вызвать внешнюю программу, не нарушая безопасности скрипта?
Отправлено: NeoNox от 14 Июня 2004, 11:42:43

koliama ссылку на переводчик дать?

Название: КАк правильно вызвать внешнюю программу, не нарушая безопасности скрипта?
Отправлено: koliama от 15 Июня 2004, 12:06:08

NeoNox
Переводчик перевел выражение taint mode - как запятнаный режим - что очень помогло в понимании этого термина :)
Теперь по делу. Написал такую конструкцию
delete @ENV{qw(IFS CDPATH ENV BASH_ENV)};
my $path = $ENV{\'PATH\'} = \'/usr/local/bin\';
my $file = new IO::File "/usr/local/bin/traflog -n -i lnc0 -a -o nik |" or die "Not run program traflog: $!\\n";
с ней работает без ругани на -Т. Но не уверен правильно ли так..

Название: КАк правильно вызвать внешнюю программу, не нарушая безопасности скрипта?
Отправлено: ThE0ReTiC от 15 Июня 2004, 12:09:47

[off]
интересный способ выдергивать траффик из трафлога.
я по другому в свое время делал
[/off]

Название: КАк правильно вызвать внешнюю программу, не нарушая безопасности скрипта?
Отправлено: NeoNox от 15 Июня 2004, 12:17:21

Перевод дает понятие что это такое если слово запятнаный изменить на меченый.
Правильно.
Ты же perlsec с картинками читал ;)

Название: КАк правильно вызвать внешнюю программу, не нарушая безопасности скрипта?
Отправлено: koliama от 15 Июня 2004, 12:21:33

NeoNox
C картинками, по ним и делал, как видишь :)

ThE0ReTiC
способов всегда несколько. мне понравился этот :)
[OFF]