Hallo

Ist es theoretisch möglich das in einem Perl Skrip ein Buffer overflow eingeleitet werden kann, indem man Daten per Get bzw. Post an das Skript sendet und die Daten dort mit hilfe des CGI-Moduls ausgelesen werden?

Wenn ja: Wie?
Was kann man dagegen tun?


Danke.

je geht;
ich hab auch mal was dazu gesehen, finde es aber nicht!

Ich denke mal, dass es vor allem mit Modulen geht, die mit C-Anteil sind...

Hi,

lies Dir doch mal die manpage zum cgi-Modul durch. Vorallem den Abschnitt "Denial of Service"-Attacken vermeiden.

Interessant sind z.B. folgende Einstellungen:

$CGI::POST_MAX=1024 * 100; # maximal 100K POSTings
$CGI::DISABLE_UPLOADS = 1; # keine Uploads

cu

Martin

Das ist aber nicht gegen Buffer overflows.

da perl interpretiert wird und Strings in perl nicht extra vom programmierer allociert werden müssen, passiert der buffer-overflow wohl nur in perl selber...
dies passiert wohl nicht bei ein string zuweisung außer vielleicht man gaugelt vor unicode zu schicken, hält sich dabei nicht an die regeln und erzeugt damit eine exception in perl, die nicht abgefangen wird. Auch bei regulären Ausdrücke könnte ich mir einen buffer overflow vorstellen!