我使用的是HTML::Mason,经过最近的安全审计,发现我们的一些软件容易受到标头注入的攻击。具体来说,这与session_id参数有关,该参数通过GET和POST请求传递。
我曾尝试从自定义处理程序修改handler()方法中的环境,但Apache2::RequestRec已经创建,因此它不会接受更改。
有没有一种好的方法可以在处理程序级别将所有输入净化为HTML::Mason?
所以我使用HTML::Mason插件解决了这个问题。这不是我所希望的解决方案,因为它不会在解析之前净化争论,而是在解析之后。如果在参数解析中有一段可利用的代码,它仍然可能导致问题。这总比什么都没有好,但感觉并不是一个真正的解决方案。
向ApacheHandler添加插件:
my $ah = HTML::Mason::ApacheHandler->new (
...
session_use_cookie => 0,
args_method => "mod_perl",
session_args_param => 'session_id',
plugins => [PolMaker::Plugins::SanitizeArgs->new],
);
插件代码:$context->args完成了大部分繁重的工作。给定输入:
?session_id=c45a0309191691cd5b4714c936d0f9a2&foo=bar&baz=pop
我们在$context->args中得到以下内容:
['session_id', 'c45a0309191691cd5b4714c936d0f9a2', 'foo', 'bar', 'baz', 'pop']
这也适用于POST请求,并且遵循与HTML::Mason的正常解析相同的规则。实际的插件如下:
package PolMaker::Plugins::SanitizeArgs;
use base qw(HTML::Mason::Plugin);
my %SANITIZE = (
"session_id" => 1,
## Room for future expansion.
);
sub start_request_hook { ## Executes once per request.
my $self = shift;
my $context = shift;
my @clean_args;
my $next = 0;
foreach my $arg (@{ $context->args } ) {
if (defined($SANITIZE{$arg})) {
$next = 1;
} elsif ($next > 0) {
$arg =~ s/[^w d-.]//g; # Leave words, digits, dashes and periods.
$next = 0;
}
push @clean_args, $arg;
}
@{$context->args} = @clean_args;
}
1;
同样,这个选项并不像我想要的那样优化,但它会起作用的。对这一"解决方案"的补充和增强也将受到欢迎。