ユーザーに URL の入力を求める (適切な正規表現の URL 検証を使用) アプリを作成し、cURL を含むページを返し、そのページでいくつかのチェックを実行します。
cURL を使用してリモート Web ページを安全に返す最も安全な方法は何ですか? 私が理解しているように、cURL にも「セーフ モード」セキュリティ バイパス ( http://www.securityfocus.com/bid/27413 ) などの脆弱性があります。
1 に答える
0
SecurityFocus は、これは PHP 5.2.6 で修正されたと主張しています。それにアップグレードできない場合は、その攻撃ベクトルを手動で確認する必要があります。URLの前に「http」が確実に含まれている場合は、ユーザー入力を確認してください。if (substr($url, 0, 7) == 'http://'))
さらに、この php バグ レポートのコメントによると、curl はローカル ファイル アクセスを含む特定のプロトコルを無効にするオプションを提供しますが、それはソースから構成およびコンパイルする場合のみです。cURL のインストール マニュアルによると、次のようになっている必要があります (未テスト)。
./configure --disable-file
于 2010-09-12T09:51:17.690 に答える