问题标签 [taint]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
perl - 为什么在 Perl 的污点模式下管道打开不起作用?
我的原始脚本如下:
这个脚本工作正常。如果我在脚本中添加以下行,它将无法工作:
当调用管道打开时 Perl 使用什么?
添加以下代码解决了该问题:
regex - 什么是清除绝对路径的好 Perl 正则表达式?
好吧,我尝试过但失败了,所以我又来了。
我需要匹配我的 abs 路径模式。
我处于污点模式等..
我需要多次或多次打开同一个文件,而 taint 会迫使我每次都清除文件名。尽管我可能做错了其他事情,但我仍然需要帮助构建此模式以供将来参考。
您可以通过我的初学者尝试看到我几乎一无所知。
$1
由于我构造不佳但有效的正则表达式,我不得不添加正斜杠和扩展名。
所以,我需要帮助来学习如何修正我的表达$1
方式/public_html/mystuff/10000001/001/10/01.cnt
有人可以在这里握住我的手,告诉我如何制作:
$file =~ /(\w{1}[\w-\/]*)/
匹配我的绝对路径/public_html/mystuff/10000001/001/10/01.cnt
?
感谢您的任何帮助。
php - PHP 中 Perl 的污点模式
只是想知道...是否有与 Perl 的污染模式等效的 PHP?我不认为有,但我想我会问。
perl - Perl 的污点模式有用吗?
你用它吗?它是否可以帮助您发现 Perl 脚本中的安全漏洞?
perl - 如何使用'#!/usr/bin/env perl'-shebang 在 perl 脚本中设置污点模式?
如何在 perl 脚本中设置污点模式
谢邦?
perl - taint-mode perl:通过 system() 运行外部程序时保留 suid
我正在尝试向旧脚本添加功能。该脚本是 suid,并使用 perl -T(污点模式:man perlsec),以获得额外的安全性。我需要添加的功能是在 Python 中实现的。
我的问题是我无法说服 perlsec 保留 suid 权限,无论我如何清洗环境和命令行。
这是令人沮丧的,因为它为其他二进制文件(例如 /bin/id)保留了 suid。/usr/bin/perl 是否存在未记录的特殊情况?这似乎不太可能。
有谁知道使这项工作的方法?(原样:我们没有资源来重新设计整个事情。)
解决方案:(根据@gbacon)
给出了想要的结果!
这是我的脚本的精简版,它仍然显示我的问题。
这是输出:
perl - 如何在污点模式下从 Perl CGI 调用 /sbin/iptables?
当我在 Perl CGI 脚本中调用“sudo /sbin/iptables ...”时,出现错误:
我试图在 $ENV{'PATH'} 中添加“/sbin:/etc/sysconf:/etc/init.d”,但仍然没有成功。有人有什么想法吗?
perl - 使用 -T 开关运行时不安全的 $ENV{ENV}
当我尝试 perlfaq5 中的最后一个示例时:How-do-I-count-the-number-of-lines-in-a-file? 我收到一条错误消息。我应该怎么做才能让脚本正常工作?
输出:
perl - 查找 perl 污点模式错误的根源
在污点模式下运行 perl CGI 脚本时,我收到以下形式的错误...
my-script.cgi 第 39 行是 perl 模块的 use 语句,它本身不使用 eval 或 some_function,但可能使用了另一个库。some_line 和 some_other_line 行号在 my-script.cgi 或在 my-script.cgi 的第 39 行“使用”的库中似乎没有意义。
鉴于此错误,我如何追踪污点错误发生的位置?
我尝试设置一个新的 die 信号处理程序,它应该打印一个堆栈跟踪,即
但这似乎对错误没有影响。也许这是一个错误的信号被捕获,没有足够早地发生,或者需要更复杂的东西。
perl - 清洗受污染的数据
当我通过检查是否有任何坏字符来清洗受污染的数据时,是否有 unicode-properties 可以过滤坏字符?