Taint :: Runtime. tint :: tempo de execução é um módulo de verificação de tempo de execução.
Baixe Agora

Taint :: Runtime. Classificação e resumo

Taint :: Runtime. Tag

verificador Módulo Perl. tempo de execução mácula verificador de contaminação tempo de execução

Taint :: Runtime. Descrição

Taint :: Runtime é um módulo de verificação de tempo de execução. Taint :: Runtime é um tempo de execução Ativar Módulo de Verificação de Montagem.Synopsis ### Sample "Habilitar" #! / Usr / bin / perl -w Use tint :: tempo de execução QW (Ativar tint_env); tint_env (); # Ter a palavra-chave Habilitar na lista de importação Inicia a tintura ### Sample $ tintura #! / usr / bin / bin -w use taint :: tempo de execução QW ($ tint taint_env); $ Tints = 1; tint_env (); # agora está ativado se (1) {local $ tint = 0; # Faça algo em que confiamos} # Voltar para uma área não confiável ### Amostra de uso funcional #! / usr / bin / perl -w Use rigoroso; use tint :: runtime qw (taint_start is_tainting tint_env tintura disserting tint_enabled); ### outras operações aqui tint_start (); # manteiga deve se tornar ativo tint_env (); #% Env foi anteriormente sem destino imprimir tint_enabled ()? "Enabledn": "não enabledn"; meu $ var = mancha ("alguma string"); Imprimir IS_TANTED ($ var)? "Taintntn": "não taintnedn"; $ var = desaceleração ($ var); # Ou dissipação $ var; Imprimir IS_TANTED ($ var)? "Taintntn": "Não Taintedn"; primeiro - você provavelmente não deve usar este módulo para controlar a mancha. Você provavelmente deve usar a opção -t na linha de comando. Há um número um tanto limitado de casos de uso legítimo, onde você deve usar este módulo em vez do interruptor -t. A menos que você tenha uma razão específica e boa para não usar a opção -t, você deve usar o opção -t.Toint é uma coisa boa. No entanto, poucas pessoas (que eu trabalho ou fale ou discuto itens com) use mancha, embora devam. O objetivo deste módulo não é usar menos, mas para realmente encorajar seu uso mais. Este módulo visa fazer o uso de mácula o mais indolor possível (isso pode ser um argumento contra ele - muitas vezes implementação de segurança implica dor - então tirando a dor pode diminuir a segurança - tipo de). Em geral - quanto mais seguro seu script precisar ser - Quanto mais cedo em seu programa que a mancha deve ser ativada. Para mais scripts setuid, você deve habilitar a mancha usando o switch -t. Sem isso, você permite que um usuário não root substitua @Inc que permita que eles coloque seu próprio módulo no local de módulos confiáveis. Isto é mau. Isso é muito ruim. Use o switch -t. Há alguns lugares comuns onde este módulo pode ser útil e onde a maioria das pessoas não o usa. Um desses lugar está em um servidor da Web. O interruptor -t remove perl5lib e perllib e '.' de @Inc (ou removê-los antes que eles possam ser adicionados). Isso faz sentido sob setuid. O uso do interruptor -t em um ambiente CGI pode causar um pouco de dor de cabeça. Para novo desenvolvimento, os scripts CGI podem ser possíveis usar o switch -t e para ambientes mod_perl existem a variável perltaint. Ambos os métodos permitirão à mancha e a partir desse ponto de desenvolvimento devem ser feitos com a TAINT.However, muitos (possivelmente mais) os implementos do servidor da Web Perl adicionam seus próprios caminhos ao Perl5lib. Todos os scripts de CGI e mod_perl podem ter acesso. Usar o switch -t lança uma chave para os trabalhos, pois repentinamente perl5lib desaparece (mod_perl pode facilmente ter os diretórios extras adicionados novamente usando push @inc, '/ nosso / lib / dir'; ). A empresa com quem trabalho tem 200 últimos scripts visíveis ao usuário misturados com alguns mod_perl. Atualmente, nenhum dos scripts usam mancha. Gostaríamos de todos eles, mas não é viável fazer a mudança de uma só vez. Taint :: Runtime permite que os scripts legados em movimento sobre um de uma vez. Se você estiver usando SetuID - não use este script. Se você não estiver usando o SetUID e tiver razões para não usar o módulo e estão usando este módulo , certifique-se de que a mancha esteja habilitada antes de processar quaisquer dados do usuário. Lembre-se também que porque a chave -t não foi usada% env é inicialmente marcada como contaminada. Chamar tint_env () para marcá-lo como contaminado (especialmente importante em scripts CGI que se lêem a partir de $ Env {'query_string'}). Se você não estiver usando o switch -t, provavelmente deve usar o seguinte no topo de Seu script: #! / usr / bin / perl -w use rigoroso; Use Taint :: Runtime QW (Ativar tint_env); tint_env (); embora este módulo permita que você desligue - você provavelmente não deveria. Este módulo é mais para você transformar a mancha - e uma vez que é provavelmente deve ficar. Requisitos: · Perl.

Taint :: Runtime. Software Relacionado