security - 基于 CGI 的 Web 应用程序的安全性如何？

Question

使用 CGI 的一个众所周知的主要缺点是网络服务器性能不佳。但是基于 CGI(主要是 C/C++)的应用程序有多安全？基于 C/C++ 构建的 CGI 架构中是否存在任何重大安全漏洞？

我想了解一些基于 CGI 的网络应用程序/网站的实际实现。我知道的一个是 javaranch.com。

Answer 1

我在任何地方都会看到的主要安全漏洞(包括 C/C++)是不使用标准的开放 CGI 库，不阅读它的文档，并且认为自己是安全的。

• 不要重新发明轮子。使用 CGI 库。有些语言有这个内置的(PHP 可能有)，有些包含它(想到 Perl)，有些需要你从其他地方获取它(C/C++)。确保你知道它是什么，并且你使用它。不要不要尝试自己实现。如果非要问安全问题，你和我一样，没有资格写。
• 阅读文档。如果您使用的是完善的库，则会提供有关安全问题以及您可以采取哪些措施来避免这些问题的文档。
• 永远不要以为自己是安全的。我很确定我不安全，即使我已经遵循 Perl 的 CGI 库中的所有规则，以及数据库接口(interface)库中的规则等。但我仍然认为我不安全，并保持在那里做任何事情时，它都在我的脑海中。如果我成为安全专家，也许我会改变我的假设。还不确定。

安全总是多方面的，而且总是不完整的。各种软件中一直存在漏洞——以前可能被认为是安全的软件。现在我们拥有比 15 年前更多的最佳安全实践。我们有 SELinux 以提高安全性。

当然，问题是 - 您的应用有足够的安全性吗？合理的努力是否能让您获得合理的安全级别？当然，这就是我不使用 C/C++ 的原因，而是使用 Perl。确保我不会在 Perl 中覆盖内存比在 C++ 中要少得多。这是一个安全级别，不涉及实际工作。