问题标签 [taint]

我的原始脚本如下：

这个脚本工作正常。如果我在脚本中添加以下行，它将无法工作：

当调用管道打开时 Perl 使用什么？

添加以下代码解决了该问题：

好吧，我尝试过但失败了，所以我又来了。

我需要匹配我的 abs 路径模式。

我处于污点模式等..

我需要多次或多次打开同一个文件，而 taint 会迫使我每次都清除文件名。尽管我可能做错了其他事情，但我仍然需要帮助构建此模式以供将来参考。

您可以通过我的初学者尝试看到我几乎一无所知。

$1由于我构造不佳但有效的正则表达式，我不得不添加正斜杠和扩展名。

所以，我需要帮助来学习如何修正我的表达$1方式/public_html/mystuff/10000001/001/10/01.cnt

有人可以在这里握住我的手，告诉我如何制作：

$file =~ /(\w{1}[\w-\/]*)/ 匹配我的绝对路径/public_html/mystuff/10000001/001/10/01.cnt？

感谢您的任何帮助。

只是想知道...是否有与 Perl 的污染模式等效的 PHP？我不认为有，但我想我会问。

你用它吗？它是否可以帮助您发现 Perl 脚本中的安全漏洞？

如何在 perl 脚本中设置污点模式

谢邦？

我正在尝试向旧脚本添加功能。该脚本是 suid，并使用 perl -T（污点模式：man perlsec），以获得额外的安全性。我需要添加的功能是在 Python 中实现的。

我的问题是我无法说服 perlsec 保留 suid 权限，无论我如何清洗环境和命令行。

这是令人沮丧的，因为它为其他二进制文件（例如 /bin/id）保留了 suid。/usr/bin/perl 是否存在未记录的特殊情况？这似乎不太可能。

有谁知道使这项工作的方法？（原样：我们没有资源来重新设计整个事情。）

解决方案：（根据@gbacon）

给出了想要的结果！

这是我的脚本的精简版，它仍然显示我的问题。

这是输出：

当我在 Perl CGI 脚本中调用“sudo /sbin/iptables ...”时，出现错误：

我试图在 $ENV{'PATH'} 中添加“/sbin:/etc/sysconf:/etc/init.d”，但仍然没有成功。有人有什么想法吗？

当我尝试 perlfaq5 中的最后一个示例时：How-do-I-count-the-number-of-lines-in-a-file? 我收到一条错误消息。我应该怎么做才能让脚本正常工作？

输出：

在污点模式下运行 perl CGI 脚本时，我收到以下形式的错误...

my-script.cgi 第 39 行是 perl 模块的 use 语句，它本身不使用 eval 或 some_function，但可能使用了另一个库。some_line 和 some_other_line 行号在 my-script.cgi 或在 my-script.cgi 的第 39 行“使用”的库中似乎没有意义。

鉴于此错误，我如何追踪污点错误发生的位置？

我尝试设置一个新的 die 信号处理程序，它应该打印一个堆栈跟踪，即

但这似乎对错误没有影响。也许这是一个错误的信号被捕获，没有足够早地发生，或者需要更复杂的东西。

当我通过检查是否有任何坏字符来清洗受污染的数据时，是否有 unicode-properties 可以过滤坏字符？