Re: Buffer Overflows bei Parameter Übergabe möglich? nein... - baseportal Forum - Web-Anwendungen einfach, schnell, leistungsfähig!
baseportal
English - Deutsch "Es gibt keine dummen Fragen - jeder hat einmal angefangen"

 baseportal-ForumDie aktuellsten 10, 30, 50, 100 Einträge anzeigen.  

 
 Ausgewählter Eintrag: Zur Liste 
    Beitrag von Christoph Bergmann (8110 Beiträge) am Mittwoch, 10.März.2004, 16:28.
    Re: Buffer Overflows bei Parameter Übergabe möglich? nein...

      Buffer Overflows sind bei Perl-Programmen Prinzip-bedingt unmöglich, weil Perl nicht C/C++ ist und Zeichenketten, sowie den Speicher anders verwaltet. Es gibt bei Perl (theoretisch) keine Grenzen der für bestimmte Variablen, Arrays oder wasimmer vorgegeben wäre, insofern können diese auch nicht überlaufen. In Perl muss man sich auch nicht selbst ums Aufräumen des Speichers kümmern wie in C/C++, die ganze Verwaltung des Speichers erledigt Perl (und damit baseportal) selbst...

      Das heisst nun aber nicht, dass es unmöglich wäre Fehler und Sicherheitsbugs in Perl-Programme einzubauen, es gibt noch genügend andere mögliche Löcher. Ein Beispiel: Du übergibst über die URL, wie die Abfrage einer DB aussehen soll ("...&name=hans") und fragst dann so ab:

      get "Freigegeben==1 Name==$name", "db";
      

      Nun kann natürlich jemand über die URL für $name z.b. "hans|Freigegeben==0" übergeben und käme so auch an die Daten des Nutzers "hans", auch wenn "Freigegeben" auf 0 steht...

      Das ist nur ein einfaches Beispiel, es gibt natürlich viele, viele Möglichkeiten der Manipulation die man leicht übersehen kann. Andreas Jurenda ist da der Spezialist solche Lücken rauszufinden und er wird bei seinem Vortrag beim BOM sicher einiges darüber erzählen ;-))

      Weiterhin ist man natürlich auch nicht vor Lecks in anderen Programmen wie z.b. dem Internet Explorer gefeit, bei dem es ja solche Buffer Overflows gibt. Hat dann aber nicht direkt was mit baseportal zu tun...

      Und zu guter Letzt: Perl selbst ist in C/C++ geschrieben und kann natürlich wie jede Software Fehler & Sicherheitslöcher enthalten. Es ist allerdings OpenSource, d.h. Fehler werden sehr schnell gefunden und bereinigt...


    Antworten

 Alle Einträge zum Thema: Zur Liste 
    Beitrag von Tobias (112 Beiträge) am Dienstag, 9.März.2004, 22:02.
    Buffer Overflows bei Parameter Übergabe möglich?

      Hallo alle zusammen,

      diese Frage richtet sich eigentlich mehr an die Betreiber von baseportal, aber sie ist sicher auch ganz interessant für alle Leser des Forums.

      Frage: Inwiefern sind Buffer Overflows, mit denen sich fremder Perl Code einschleusen lässt, bei baseportal möglich?

      Wenn ich beispielsweise über einen URL Parameter abfrage, in welcher Sprache Inhalte angezeigt werden sollen, etwa so:

      http://baseportal.de/cgi-bin/baseportal.pl?htx=/foo/foo/bar&sprache=de

      Werden dann überlange Eingaben an $sprache durch baseportal selbstständig abgefangen, oder muss ich in meinen Perl Skripten selbst darauf achten, dass $sprache nicht überläuft und eventuell der Überlauf bösartiger Code sein könnte, der meine Datenbanken leer räumt?

      Vielen Dank im Voraus,

      Gruß,
      Tobias

     Antworten

    Beitrag von Christoph Bergmann (8110 Beiträge) am Mittwoch, 10.März.2004, 16:28.
    Re: Buffer Overflows bei Parameter Übergabe möglich? nein...

      Buffer Overflows sind bei Perl-Programmen Prinzip-bedingt unmöglich, weil Perl nicht C/C++ ist und Zeichenketten, sowie den Speicher anders verwaltet. Es gibt bei Perl (theoretisch) keine Grenzen der für bestimmte Variablen, Arrays oder wasimmer vorgegeben wäre, insofern können diese auch nicht überlaufen. In Perl muss man sich auch nicht selbst ums Aufräumen des Speichers kümmern wie in C/C++, die ganze Verwaltung des Speichers erledigt Perl (und damit baseportal) selbst...

      Das heisst nun aber nicht, dass es unmöglich wäre Fehler und Sicherheitsbugs in Perl-Programme einzubauen, es gibt noch genügend andere mögliche Löcher. Ein Beispiel: Du übergibst über die URL, wie die Abfrage einer DB aussehen soll ("...&name=hans") und fragst dann so ab:

      get "Freigegeben==1 Name==$name", "db";
      

      Nun kann natürlich jemand über die URL für $name z.b. "hans|Freigegeben==0" übergeben und käme so auch an die Daten des Nutzers "hans", auch wenn "Freigegeben" auf 0 steht...

      Das ist nur ein einfaches Beispiel, es gibt natürlich viele, viele Möglichkeiten der Manipulation die man leicht übersehen kann. Andreas Jurenda ist da der Spezialist solche Lücken rauszufinden und er wird bei seinem Vortrag beim BOM sicher einiges darüber erzählen ;-))

      Weiterhin ist man natürlich auch nicht vor Lecks in anderen Programmen wie z.b. dem Internet Explorer gefeit, bei dem es ja solche Buffer Overflows gibt. Hat dann aber nicht direkt was mit baseportal zu tun...

      Und zu guter Letzt: Perl selbst ist in C/C++ geschrieben und kann natürlich wie jede Software Fehler & Sicherheitslöcher enthalten. Es ist allerdings OpenSource, d.h. Fehler werden sehr schnell gefunden und bereinigt...

     Antworten


     
 Liste der Einträge von 31500 bis 31650:Einklappen Zur Eingabe 
Neueste Einträge << 10 | 9 | 8 | 7 | 6 | 5 | 4 | 3 | 2 | Neuere Einträge < Zur Eingabe  > Ältere Einträge | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 >> Älteste Einträge


Zurück zur Homepage

© baseportal.de. Alle Rechte vorbehalten. Nutzungsbedingungen



powered in 0.13s by baseportal.de
Erstellen Sie Ihre eigene Web-Datenbank - kostenlos!