0

我有一些旧的 Perl 代码,我被告知容易受到跨站点脚本攻击或 SQL 注入攻击。#!/usr/local/bin/perl我想我会通过将 shebang 从更改为来打开污点模式#!/usr/local/bin/perl -T,现在我收到以下错误消息:

Insecure dependency in require while running with -T switch at <big long path>/main.cgi line 26.

代码如下所示:

  1 #!/usr/local/bin/perl  -T
.
.
.
 12 use strict;
 13
 14 use vars qw( %opt $VERSION );
 15
 16 use CGI qw/:standard *table start_ul/;
 17 use CGI qw(:debug);
 18 use CGI::Carp qw( fatalsToBrowser );
 19 #use CGI::Pretty qw( :html3 );
 20 $CGI::Pretty::INDENT = "    ";
 21 use Tie::IxHash;
 22 use FindBin qw($Bin); 
 23 use lib "$Bin/../../lib";
 24 use lib "$Bin/../lib";
 25
 26 use Common::Config;

Common::Config 具有以下所有权和权限:

$ ls -l lib/Common/Config.pm
-r--r--r--. 1 someguy example 5840 Oct  9 20:08 lib/Common/Config.pm

我尝试将所有权更改为,apache但仍然收到污染错误消息。

更新:

我试图$Bin像这样清除我的变量:

use FindBin qw($Bin);           # Where are we ?
if ($Bin =~ /^([-\@\w.]+)$/) {
        $Bin = $1;                      # $data now untainted
} else {
        die "Bad data in '$Bin'";       # log this somewhere
}

但我仍然收到有关的污染错误use Common::Config;

4

1 回答 1

4

您是否有use lib将不安全变量添加到包含路径的语句?

https://perldoc.perl.org/perlsec.html

注意,如果在 中添加了被污染的字符串@INC,将会报出如下问题:

Insecure dependency in require while running with -T switch
于 2017-10-16T21:20:47.150 回答