【问题标题】:Do I need 'taint' mode for an internal website?内部网站是否需要“污点”模式?
【发布时间】:2013-03-04 19:25:10
【问题描述】:

我进来支持的中型内部网站大约有 1/2 的 *.cgi 文件没有“污点”模式。内部网站是否需要“污点”模式?

【问题讨论】:

    标签: perl taint


    【解决方案1】:

    您信任内部用户吗?如果不是,那么是的。

    【讨论】:

      【解决方案2】:

      假设您确实信任您的内部用户并且目前不需要污点。您可以考虑在任何现有脚本中保持 taint ON,如果只是为了训练自己如何使用 taint。它并不像一开始的感觉那么糟糕,有点像在煤上行走。变得更好。

      我可以说,我有多个“内部”网站突然(要求发生变化)变成面向客户、暴露在互联网上并需要更好的安全性。

      要记住的另一件事是,内部用户有时是最不满意的,最有可能想要伤害您的组织是一些小事。

      【讨论】:

      • 无论出于何种原因,任何事情都可以随时公开。这不是在代码库中正确处理污点所涉及的额外工作的正当理由。
      • 同意,但这不是我给出的唯一理由。另一个原因是您给出的原因:不信任的内部用户。在详细说明自己之前,我对此表示赞同。
      猜你喜欢
      • 2011-04-24
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2017-03-22
      • 2016-05-14
      • 2021-09-11
      • 2011-02-24
      相关资源
      最近更新 更多