Прикладные протоколы Интернет и WWW. Чукарин А.В. - 84 стр.

UptoLike

Составители:

Рубрика:

Рис. 8.3. Схема управления ресурсов сервером HTTP.

Вторая возможность проникновения в компьютерную систему

через сервер WWW связана с CGI-скриптами, подробнее о которых см.

раздел 9. CGI-скрипт – это программа, которую сервер HTTP может

запускать для реализации механизмов, не предусмотренных в

протоколе. Многие достаточно мощные информационные механизмы

WWW реализованы посредством CGI-скриптов. К ним относятся:

программы поиска по ключевым словам, программы реализации

графических гипертекстовых ссылок – imagemap, программы

сопряжения с системами управления базами данных и т.п. Естественно,

что при этом появляется возможность получить доступ к системным

ресурсам. Обычно внешняя программа запускается с идентификатором

пользователя, отличным от идентификатора сервера. Данный

идентификатор указывается при конфигурировании сервера. Наиболее

безопасным здесь является идентификатор пользователя nobody (65534).

Основная опасность скриптов заключена в том, что данные в скрипт

посылаются программой-клиентом. Для того, чтобы в качестве

параметров не передавали «подозрительных» данных, многие серверы

производят проверку параметров на наличие допустимых символов.

Одной из характерных для скриптов проблем является размер входных

данных. Многие «умные» серверы обрезают слишком большие входные

потоки и тем самым защищают скрипты от «поломки».

Практически любой сервер имеет механизм назначения

паролей и прав доступа для различных пользователей, который

базируется на схеме идентификации протокола HTTP 1.0. Данная схема