Taint :: Laufzeit Taint :: Runtime ist ein Laufzeit-Aktivierungsfehler-Überprüfungsmodul.
Jetzt downloaden

Taint :: Laufzeit Ranking & Zusammenfassung

Taint :: Laufzeit Stichworte

checker Perl-Modul Laufzeit Verderben Taint-Checker Taint-Laufzeit.

Taint :: Laufzeit Beschreibung

Taint :: Runtime ist ein Laufzeit-Aktivierungs-Fehler-Überprüfungsmodul. Taint :: Runtime ist eine Laufzeit-Aktivierungs-Fehler-Überprüfungsmodul.Synopsis ### Sample "Enable" verwenden #! / Usr / bin / perl -w Verwenden Sie TAST :: Runtime QW (Aktivieren von toint_env); toint_env (); # Wenn Sie das Keyword-Aktivieren in der Importliste aktivieren, startet Taint ### Muster $ Taintnutzung #! / USR / BIN / PERL-WH Verwenden Sie TAST :: RUNTIME QW ($ HOST TAINT_ENV); $ Taint = 1; toint_env (); # fehlerhaft ist jetzt aktiviert, wenn (1) {local $ toint = 0; # Tun Sie etwas, das wir vertrauen Verwenden Sie TAST :: RUNTIME QW (TAINT_START IS_TAGED TAINT_ENV HAINT ENTINT TOINT_ENED); ### andere Vorgänge hier toint_start (); # fehlerhaft sollte toint_env (); #% Env war zuvor unberührt druck toint_enabled ()? "Enablednn": "nicht enablednn"; mein $ var = fehlerhaft ("etwas String"); drucken is_tainted ($ var)? "tointedn": "nicht tointedn"; $ var = acht ($ var); # Oder egal $ var; drucken is_tainted ($ var)? "TAINTEDN": "Nicht tointedn"; Zuerst - Sie sollten dieses Modul wahrscheinlich nicht verwenden, um den Hehler zu steuern. Sie sollten stattdessen den -t-T-Switch verwenden. Es gibt eine etwas begrenzte Anzahl legitimer Anwendungsfälle, in denen Sie dieses Modul anstelle des -t-Switches verwenden sollten. Wenn Sie keinen bestimmten und guten Grund dafür haben, die Option -t nicht zu verwenden, sollten Sie die Option -t -t verwenden. Taste ist eine gute Sache. Nur wenige Menschen (dass ich mit oder um Gegenstände mit oder diskutieren oder diskutieren), verwenden Sie, obwohl sie dies tun sollten. Das Ziel dieses Moduls ist nicht, verrückte weniger zu verwenden, sondern tatsächlich mehr zu fördern. Dieses Modul zielt darauf ab, so schmerzlos wie möglich zu verwenden (dies kann ein Argument dagegen sein - oft impliziert die Implementierung von Sicherheitsschmerzen - so, dass der Schmerz weggenommen wird, möglicherweise sicherheit sind - Art von) .in General - desto sicherer ist Ihr Skript zu sein - Je früher in Ihrem Programm, dass die Beschwerden aktiviert werden soll. Für die meisten Setuid-Skripts sollten Sie mit dem Switch -t-Switch-Telegie aktivieren. Ohne dies zu tun, erlauben Sie einen Nicht-Root-Benutzer, @inc zu überschreiben, der es ihnen ermöglicht, ein eigenes Modul an den Ort der vertrauenswürdigen Module zu setzen. Das ist schlecht. Das ist sehr schlecht. Verwenden Sie den -t-Schalter. Es gibt einige übliche Orte, an denen dieses Modul nützlich sein kann, und wo die meisten Leute es nicht verwenden. Ein solcher Ort befindet sich in einem Webserver. Der -t-Switch entfernt Perl5lib und Perllib und '.'. von @inc (oder entfernen Sie sie, bevor sie hinzugefügt werden können). Dies macht einen Sinn unter setuid. Die Verwendung des -t-Switches in einer CGI-Umgebung kann ein bisschen Kopfschmerzen verursachen. Für Neuentwicklung können CGI-Skripts möglich sein, den -t-Switch zu verwenden, und für Mod_Perl-Umgebungen gibt es die Perltaint-Variable. Beide Methoden ermöglichen, dass sowohl ein Hohlraum und von diesem Punkt auf der Entwicklung erfolgen sollten, sollte mit Harmondeverfahren erfolgen. Wie immer, viele (möglicherweise am meisten) Perl-Webserver-Implementations fügen der Perl5lib ihre eigenen Wege hinzu. Alle CGI- und MOD_PERL-Skripts können dann Zugriff aufweisen. Die Verwendung des -t-Switches wirft einen Schraubenschlüssel in die Werke, da plötzlich Perl5lib verschwindet (Mod_Perl kann die zusätzlichen Verzeichnisse einfach wieder mit push @Inc, '/ unser / lib / dif'; ) hinzugefügt werden. Das Unternehmen, für das ich arbeite, wegen 200 Plus-Benutzer-Skripts, die mit einigen Mod_PERL gemischt werden. Derzeit verwenden keine der Skripts, um Harmon zu verwenden. Wir möchten, dass sie alle, aber es ist nicht möglich, die Änderung auf einmal zu machen. Fehler :: runtime ermöglicht es, ältere Skripts zu einem Zeitpunkt zu verschieben Stellen Sie sicher, dass Taint aktiviert ist, bevor Sie alle Benutzerdaten verarbeiten. Denken Sie auch daran, dass, weil der -t-Switch nicht verwendet wurde% ENV wird anfangs nicht so gefährdet markiert. Rufen Sie toint_env () an, um es als befleckt zu markieren (besonders wichtig in CGI-Skripts, die alle von $ Env {'Query_String'} lesen). Wenn Sie den -t-Switch nicht verwenden, sollten Sie höchstwahrscheinlich das Folgende ganz oben verwenden Ihr Skript: #! / usr / bin / perl -w verwenden streng; Verwenden Sie Taint :: Runtime QW (aktivieren Sie TAINT_ENV); toint_env (); Obwohl dieses Modul es Ihnen ermöglicht, dass Sie unbedingt verwandelt werden können, sollten Sie wahrscheinlich nicht. Dieses Modul ist mehr für Sie, um verunreinigt zu sein - und sobald es dabei ist, sollte es wahrscheinlich bleiben. Anforderungen: · Perl.

Taint :: Laufzeit Zugehörige Software