Direkter Aufruf von CGI-Script verhindern (mod_perl und Apache)

[thread]13936[/thread]

Direkter Aufruf von CGI-Script verhindern

Leser: 29

Articles: hide open all | hide show old branches

+13 replies
majd

2009-08-27 02:54
User since
2009-08-27
1 Artikel
BenutzerIn
Hallo Leute,

ich habe eine CGI-Datei test.cgi die ich aufrufe über :
Code: (dl )

<script type="text/javascript" src="http://www.abc.de/cgi-bin/test.cgi"></script>
es funktioniert auch soweit.
ich möchte aber verhindern, dass man die Datei über ein direkten Aufruf im Browser aufruft(
Code: (dl )

www.abc.de/cgi-bin/test.cgi
). sodass Z.B. eine fehlermeldung erscheint oder ne weiterleitung...etc.
wie mach ich das am besten falls überhaupt machjbar wäre.

Danke im voraus.

----
Modedit GwenDragon: Code in CODE-Tags gestellt
----
Last edited: 2009-08-27 09:30:12 +0200 (CEST)
- +8 replies
- kristian
  
  2009-08-27 05:31
  
  User since
  2005-04-14
  684 Artikel
  BenutzerIn
  
  Hallo
  Du kannst im Script prüfen, ob es einen HTTP_REFERER gibt.
  Bei direktem Aufruf gibt es den nicht, beim Aufruf aus der Seite im Normalfall schon.
  Der Haken ist, das manche "Sicherheits-Tools" den Referer generell unterdrücken.
  Gruß
  Kristian
  - +6 replies
  - Gast majd
    
    2009-08-27 19:58
    
    danke euch für die Antworte.
    ich brauchte das um JS-Files zu generieren deren Inhalt unsichtbar bzw./ UNdownloadable.
    
    Grüße,
    majd
    - LanX-
      
      2009-08-27 20:06
      
      User since
      2008-07-15
      1000 Artikel
      BenutzerIn
      
      wenn du glaubst so ein sicherheitsrelevantes JS zuverlässig unlesbar machen zu können, dann unterliegst du leider einer Selbsttäuschung...
      
      UPDATE Wenn du nur "versehentliche" Aufrufe verhindern willst, dann gib dem Script einen JS generierten Code mit der verifiziert wird.
      Last edited: 2009-08-27 20:16:46 +0200 (CEST)
      me and my writeups
    - kristian
      
      2009-08-27 21:36
      
      User since
      2005-04-14
      684 Artikel
      BenutzerIn
      
      Hallo
      
      Guest majd
      danke euch für die Antworte.
      ich brauchte das um JS-Files zu generieren deren Inhalt unsichtbar bzw./ UNdownloadable.
      
      Warum?
      a.) Willst du nicht, dass der Code / die Idee kopiert wird?
      b.) Willst du es nicht, da du im Code "unlauter" Dinge versuchst?
      
      Bei a schreibe Code der abschreckt und schön ist.
      Bei b vergiss es, du fliegst auf.
      
      Gruß
      Kristian
    - nepos
      
      2009-08-28 10:31
      
      User since
      2005-08-17
      1420 Artikel
      BenutzerIn
      
      Guest majd
      danke euch für die Antworte.
      ich brauchte das um JS-Files zu generieren deren Inhalt unsichtbar bzw./ UNdownloadable.
      
      Grüße,
      majd
      
      Sorry, das ist aber ziemlicher Krampf, den du da vor hast.
      Der Browser muss es ja auch runterladen, sonst kann er dein JS ja nicht ausführen. Und wenns der Browser runterladen kann, dann kann ichs auch speichern.
    - sid burn
      
      2009-08-29 16:53
      
      User since
      2006-03-29
      1520 Artikel
      BenutzerIn
      
      Quote
      
      ich brauchte das um JS-Files zu generieren deren Inhalt unsichtbar bzw./ UNdownloadable.
      
      Das ist nicht Möglich, wie auch neps schon sagte. Es "muss" herunterladbar sein, sonst könnte der Browser es ja auch nicht herunterladen. Wenn du es nicht herunterladbar machen möchtest dann lösch dein CGI Skript.
      
      EDIT:
      Mir stellt sich auch eher die Frage, warum brauchst du soetwas, oder warum willst du soetwas machen?
      Last edited: 2009-08-29 16:55:14 +0200 (CEST)
      Nicht mehr aktiv. Bei Kontakt: ICQ: 404181669 E-Mail: perl@david-raab.de
    - sitescriptor
      
      2009-11-06 12:56
      
      User since
      2009-08-09
      105 Artikel
      BenutzerIn
      
      "UNdownloadable" kann auch nicht im Client ausgeführt werden.
      
      Ich kann mir z.B. in „Firebug“ jedes mit einer Seite verbundene JS ansehen, da helfen auch Cookies und Sessions nix gegen.
      
      Du kannst den Code so schreiben, dass er schwer zu verstehen ist.
      Du kannst Dir über einen XMLHttpRequest eine Rückmeldung geben lassen.
      
      Du kannst eventuell einen Teil der Logik in einem tatsächlich nichteinsehbaren Skript auf dem Server lassen und mittels XMLHttpRequest an das JS koppeln.
      
      Letztlich hast Du aber keine Chance, den JS-Code zu verstecken.
      Last edited: 2009-11-06 12:57:32 +0100 (CET)
  - sid burn
    
    2009-08-29 16:51
    
    User since
    2006-03-29
    1520 Artikel
    BenutzerIn
    
    2009-08-27T03:31:11 kristian
    Der Haken ist, das manche "Sicherheits-Tools" den Referer generell unterdrücken.
    
    Oder manche Benutzer haben es in ihrem browser einfach ausgeschaltet. Und da der HTTP_REFERER absolut gar keine Sicherheit darstellt, sollte man auch nichts Programmieren das auf diesen aufbaut.
    Nicht mehr aktiv. Bei Kontakt: ICQ: 404181669 E-Mail: perl@david-raab.de
- GwenDragon
  
  2009-08-27 09:27
  User since
  2005-01-17
  14748 Artikel
  Admin1
  Bitte das nächste Mal den Code in [CODE]-Tags stellen, dann ist es lesbarer.
  Danke.
  
  Der Referrer kann in Browsern abgeschaltet oder gefälscht werden, das ist dann löeider auch nicht so als Unterscheidung brauchbar.
  
  Um die Abrufe zu unterscheiden kannst du bei deinem HTML
  
  Code: (dl )
  
  <script type="text/javascript" src="http://www.abc.de/cgi-bin/test.cgi"></script>
  
  was ändern.
  
  Code: (dl )
  
  <script type="text/javascript" src="http://www.abc.de/cgi-bin/test.cgi?c0815=1"></script>
  
  einen CGI-Parameter anhängen. Er mus ja nicht c0815 heißen. ;)
  
  Im Skript kannst du dann ja prüfen, ob der Parameter c0815 den Wert 1 hat. Wenn nicht, würde die URL vielleicht im Browser per Hand aufgerufen.
  
  Aber wenn jemand den HTML-Code liest und das dann eingibt, ist es auch wieder das Problem der Nichtunterscheidbarkeit. Aber sowas machen wenige.
  
  Für was brauchst du denn die Unterscheidung, ob per HTML oder per Hand aufgerufen?
  Last edited: 2009-08-27 09:36:05 +0200 (CEST)
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
- topeg
  
  2009-08-27 12:32
  
  User since
  2006-07-10
  2611 Artikel
  BenutzerIn
  
  Wenn die HTML-Seite dynamisch generiert wird kannst du ähnlich GwenDragons Vorschlag eine Signatur anhängen, die aber nach einiger Zeit verfällt. Der Zugriff mit einer veralteten Signatur würde verweigert.
- Gast Coder
  
  2009-08-28 08:46
  
  Bevor die Seite mit dem Scriptaufruf an den Browser geschickt wird würde ich eine Art Zufallszahl als Session-ID in einer Datei ablegen. Diese würde ich in den Aufruf reinpacken, z.B. test.cgi?id=kjlsdlkjfkldjwieo.
  
  Und im test.cgi würde ich beim Aufruf erst in die Datei gucken, ob die übergebene Session-ID überhaupt generiert wurde. Damit hättest Du am Ende nur von Deinem Programm legitimierte Aufrufe und alle anderen könntest Du gezielt ablehnen oder weiterleiten.
- Gast peter
  
  2009-11-05 11:39
  
  Vorausgesetzt, dass Du "Zugriff" auf beide Teile (aufrufende Seite, CGI-Script) hast: würde ich auf Deiner aufrufenden Seite einen Cookie generieren, der dann durch Dein test.cgi ausgelesen wird. Kein Cookie, keine (normale) Script-Ausführung... (ggf. könnte man dann den User noch auf dem Umstand hinweisen, dass gesperrte Cookies zu dem Problem geführt haben?!)
  
  Viel Erfolg, Peter

View all threads created 2009-08-27 02:54.