污点检验

污点检验(英语:Taint checking),是某些程序语言所拥有的特性,例如Perl[1]Ruby[2],可用于增加安全性和避免恶意用户在主机上执行命令。污点会检验突出的安全风险,一般来说这些风险与那些使用SQL注入缓冲区溢出攻击的网站相关。

污点检验的原理是任何变量(例如在网页表单区域的一个变量集)能够被外部用户修改,从而造成了潜在的安全危险。如果该变量被一个表达式赋值给第二个变量,那么第二变量也是可疑的。污点检验工具在变量间传递运行,直到外部输入潜在地影响到所有的变量。如果这些变量中任何一个变量被用于执行危险命令(例如对SQL数据库或主机操作系统的直接命令),污点检检验工具将警告该程序正在使用有潜在危险的污点变量。程序员可以通过重新设计程序来避免因危险的输入而导致的安全问题。

污点检验能够被视为一个无界面全面验证的保守近似或者是更一般化的安全资讯流[3]概念。因为系统中的资讯流不能通过检验一个简单的执行追踪而被验证[4],污点分析的结果将必然地反映关于该系统资讯流特征的近似资讯[5]

例子

以下危险的Perl代码在没有检验$name变量的值情况下,启动了一个大型SQL注入漏洞:

#!/usr/bin/perl
my $name = $cgi->param("name");  # Get the name from the browser
...
$dbh->TaintIn = 1;
$dbh->execute("SELECT * FROM users WHERE name = '$name';"); # Execute a SQL query

如果开启污点检验,那么Perl将会拒绝运行命令,显示错误资讯并退出,因为一个污点变量正在SQL查询中被使用。没有污点检验,用户能输入foo'; DROP TABLE users --,因此运行命令将删除全部的数据库表。更安全的方法是将$name的污点值编码到一个SQL字符串字面值和使用SQL查询的结果,这保证了没有嵌入在$name的危险命令会被执行。另一方法是使用预处理语句去净化所有变量输入。

需要注意的是Perl DBI需要设定数据库句柄的TaintIn属性,才允许污点模式去检验该SQL字符串。

历史

Perl从至少1989年当T switch[6]加入到Perl 3的时候开始支持污点化[7]

在1996年,网景同时在网景通讯伺服器的伺服器端JavaScript和客户端的网景浏览器3[8]上实现数据污点化。然而,自从客户端支持被当作实验性功能,该功能被禁用(要求用户手动激活),而且需要页面作者修改脚本才能使用。而其他浏览器从未实现这个功能,通讯伺服器也没有大体完成,微软后来成了新的互联网资讯提供商。

参见

  1. ^ perlsec - Perl security页面存档备份,存于互联网档案馆).
  2. ^ Programming Ruby --- The Pragmatic Programmer's Guide页面存档备份,存于互联网档案馆).
  3. ^ A. Sabelfeld and A. C. Myers, "Language-based information-flow security", IEEE Journal on Selected Areas in Communications, 2003.
  4. ^ J. Ligatti, L. Bauer, D. Walker.
  5. ^ T. Terauchi and A. Aiken.
  6. ^ Contact details. "perlsec"页面存档备份,存于互联网档案馆). perldoc.perl.org.
  7. ^ Perl in a Nutshell, Second Edition, Patwardhan, Siever and Spainhour, ISBN 0-596-00241-6
  8. ^ "JavaScript: The Definitive Guide"页面存档备份,存于互联网档案馆).

外部链接