私のホスティング会社は、CGI-Bin Perl スクリプト ( NMS FormMailなどの)。
彼らは、コア ダンプが発生し、その時点で任意のスクリプト (入力フィールド テキストの一部として保存されている) がサーバー上で実行され、サイトが侵害される可能性があると述べています。彼らは、これは Apache/Perl 構成で防御できるものではないと言っています。投稿されたフィールドの文字数を制限することでこれを防ぐのは Perl スクリプト次第であるとのことです。しかし、スクリプトがフィールド サイズを制限する前に、コア ダンプが発生する可能性があるようです。
このタイプの連絡フォームと方法は、何千ものサイトで広く使用されているため、彼らの言うことが本当かどうか疑問に思っています. セキュリティの専門家の皆さん、教えていただけますか? これは本当ですか? PHPスクリプトでも同じことが起こり得るかどうかも疑問です。安全なサイト コンタクト スクリプト/メソッドについて、どのようなものをお勧めしますか?
バッファ オーバーフローについてはよくわかりませんが、いずれにせよ POST サイズを制限しても問題はありません。スクリプトの上に次を追加するだけです。
use CGI qw/:standard/;
$CGI::POST_MAX=1024 * 100; # max 100K posts
$CGI::DISABLE_UPLOADS = 1; # no uploads
脆弱性への特定の参照を提供するように依頼してください。特別に細工された POST 要求によってバッファ オーバーフローを引き起こす可能性のある Apache のバージョンがあることは確かですが、NMS FormMail に固有のものはわかりません。
Formail は過去にそのような脆弱性を持っていたので、あなたの ISP はこれを使って説明していたと思います. perl スクリプトの悪い慣行は、このような問題につながる可能性があります。
可能であれば、perl スクリプトがすべてのユーザー入力を検証することをお勧めします。それ以外の場合は、信頼できるスクリプトのみを使用し、それらを最新の状態に保つようにしてください。