elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Agujero de seguridad en input de script perl/CGI
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Agujero de seguridad en input de script perl/CGI  (Leído 2,723 veces)
ip2trama

Desconectado Desconectado

Mensajes: 8


Ver Perfil
Agujero de seguridad en input de script perl/CGI
« en: 5 Julio 2011, 15:28 pm »

Hola a todos en el foro:

Resulta que tengo un CGI en Perl que usa GET y no esta validando el input del usuario. Estoy investigando como incrementar su seguridad ya que no lo he desarrollado yo, sin embargo lo estoy editando para implementar nuevas funcionalidades. Tiene la forma de:
http://servidor/cgi-bin/script.cgi?usuario=juan&otroinput=

Lo cual hara es buscar el usuario pedro en los logs con ayuda del comando grep dentro de la un exec de perl. Al intentar modificar los parametros en el GET de la siguiente forma:
http://servidor/cgi-bin/script.cgi?usuario=juan';touch prueba.txt;&otroinput=

Veo que el parametro usuario esta siendo interpretado dentro del script CGI como:
juan%27;touch%20prueba.txt;

Por tanto no es derivado al exec de manera limpia. Hay alguna forma de que esto represente un riesgo de seguridad y finalmente poder pasar limpiamente al exec la ejecucion de mas comandos?

Gracias!
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Nuevo agujero de seguridad en Facebook
Noticias
wolfbcn 2 2,795 Último mensaje 27 Abril 2010, 16:10 pm
por SeNeGe
Agujero de seguridad en Winamp
Noticias
wolfbcn 2 2,390 Último mensaje 17 Octubre 2010, 21:55 pm
por тαптяα
Actualización de seguridad del lenguaje Perl
Noticias
wolfbcn 0 1,206 Último mensaje 20 Abril 2018, 01:29 am
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines