Perl 特性之不安全的依赖

简介: Perl 在安全方面的特性值得学习,在编译或解释层面阻挡常见安全操作被执行,可以使得我们写出更加安全的代码

最近写 Perl 程序时遇到一个很奇怪的问题:

Insecure dependency in unlink while running with -T switch at ../tmpfile.pl line 44.

经过检查,发现这是 Perl 语言一个特性,在运行时使用 -w-T 都意味着 "万无一失" 标志。

-T 标志意味着任何来自外部世界的值(例如从文件读取)都被认为是潜在的威胁,并且不允许在与系统相关的操作中使用这些值,比如写文件、执行系统命令等等。

-w 作用与 use warning 相同,会抛出一些有用的警告信息,如 using uninitialized variable

为了更清晰的表述该问题,我抽象出一个简单的示例程序:

#!/usr/bin/perl -wT

use strict;
use warnings;

use Digest::MD5;

my $DIR_PATH="/var/tmp";
my $PREFIX = "somedemotmpfile";

sub make_file {
    my ($filename) = @_;

    open my $fh, '>', $filename;
    print {$fh} "1" . "\n";
    print {$fh} "2" . "\n";
    print {$fh} "3" . "\n";
    close $fh;
}

sub make_tmpfile {
    foreach (1..5){
    my $tmpfilename = "$DIR_PATH/$PREFIX-" . Digest::MD5::md5_hex($_ . time() . $$);
    make_file($tmpfilename);
    }
}


sub clean_tmpfile {
    opendir (my $dh, $DIR_PATH) || die "Can not open $DIR_PATH/n";
    my @dots=grep { !/^\.+$/ } readdir($dh);
    closedir($dh);

    foreach my $file (@dots)
    {
    my $afile = "$DIR_PATH/$file";
    my $now = time();
    if (-e $afile && $afile =~ m/(^.*$PREFIX.*$)/) {
        #$afile = $1;
        my $mtime = (stat ($afile))[9];
        my $margin = $now - $mtime;
        print("$afile - Last change: $mtime - now: $now - margin(s): $margin\n");
        eval {
            unlink $afile;
        };
        warn $@ if $@;
    }
    }
}

sub main {
    make_tmpfile();
    clean_tmpfile();
}

main();

执行该程序,得到如下输出:

# perl -T ../tmpfile.pl
/var/tmp/somedemotmpfile-e48d74ec998a1462661eb11b7576d7e5 - Last change: 1658904122 - now: 1658904122 - margin(s): 0
Insecure dependency in unlink while running with -T switch at ../tmpfile.pl line 44.
/var/tmp/somedemotmpfile-a071ba8e02d34ef2878d7a698a22b93c - Last change: 1658904122 - now: 1658904122 - margin(s): 0
Insecure dependency in unlink while running with -T switch at ../tmpfile.pl line 44.
/var/tmp/somedemotmpfile-1a63c4b7965dc50c519e7aa68c8b081a - Last change: 1658904122 - now: 1658904122 - margin(s): 0
Insecure dependency in unlink while running with -T switch at ../tmpfile.pl line 44.

可以看到,当我从文件系统读取一些文件,并尝试直接删除这些问题时,这步操作被阻止,并报出警告 Insecure dependency in unlink while running with -T switch

为了消除“污染”,最简单的方法是使用严格正则匹配后的结果再做操作,代码修改如下:

diff --git a/study_perl/tmpfile.pl b/study_perl/tmpfile.pl
index 6520a25..51ef684 100644
--- a/study_perl/tmpfile.pl
+++ b/study_perl/tmpfile.pl
@@ -36,7 +36,7 @@ sub clean_tmpfile {
     my $afile = "$DIR_PATH/$file";
     my $now = time();
     if (-e $afile && $afile =~ m/(^.*$PREFIX.*$)/) {
-        #$afile = $1;
+        $afile = $1;
         my $mtime = (stat ($afile))[9];
         my $margin = $now - $mtime;
         print("$afile - Last change: $mtime - now: $now - margin(s): $margin\n");

再次尝试运行,得到正确的结果:

# perl -T ../tmpfile.pl
/var/tmp/somedemotmpfile-f036c279daa16297818f6ec2dad9f338 - Last change: 1658904375 - now: 1658904375 - margin(s): 0
/var/tmp/somedemotmpfile-f532d49f86ae1c486ec593c71a073e73 - Last change: 1658904375 - now: 1658904375 - margin(s): 0
/var/tmp/somedemotmpfile-e48d74ec998a1462661eb11b7576d7e5 - Last change: 1658904122 - now: 1658904375 - margin(s): 253
/var/tmp/somedemotmpfile-a071ba8e02d34ef2878d7a698a22b93c - Last change: 1658904122 - now: 1658904375 - margin(s): 253
/var/tmp/somedemotmpfile-a140c4f6095a0431194a91ead41ce605 - Last change: 1658904375 - now: 1658904375 - margin(s): 0
/var/tmp/somedemotmpfile-1a63c4b7965dc50c519e7aa68c8b081a - Last change: 1658904122 - now: 1658904375 - margin(s): 253

执行成功,且删除了之前的残留文件。

经过这次问题解决,发现 Perl 在安全方面的特性值得学习,在编译或解释层面阻挡常见安全操作被执行,可以使得我们写出更加安全的代码。

即使不写 perl 代码,使用其他语言写程序时也可有所启发。

参考文献

目录
相关文章
|
7月前
|
Perl
Perl 教程 之 Perl 包和模块 2
Perl教程介绍了BEGIN和END模块,它们在脚本加载编译后(BEGIN)和解释器退出前(END)执行。这两个关键字常用于模块创建。示例代码显示了BEGIN打印"这是BEGIN语句块",主程序打印"Begin和Block实例",而END在结束时打印"这是END语句块"。
51 0
|
7月前
|
存储 Perl
Perl 教程 之 Perl 包和模块 3
**Perl模块简述:**模块是可重用的代码包,如`Foo.pm`,包含`package Foo`及函数如`bar`和`blat`。`require`或`use`加载模块,`@INC`数组存储搜索路径。`eval`执行模块代码,末尾的`1;`确保成功加载。
76 0
|
3月前
|
Perl
探索研究Perl 包和模块
【9月更文挑战第20天】
65 16
|
7月前
|
Unix Windows Perl
Perl 教程 之 Perl 包和模块 4
Perl教程讲解了包和模块的使用。`require`和`use`函数都能调用模块,但有区别:`require`在运行时加载,需指定包名调用函数;`use`在编译时加载,无需包名且能引入子模块。`use`根据@INC路径找模块,`require`可指定路径。通过`use Exporter`, `@ISA = qw(Exporter)`, `@EXPORT`数组可导出默认符号。示例中展示了如何定义和导出模块中的函数。
52 3
|
7月前
|
Perl
Perl 教程 之 Perl 包和模块 1
Perl教程介绍了包和模块的概念。包是具有独立符号表的命名空间,允许在同一程序中使用相同变量名而不冲突。通过`package mypack;`定义包,使用`包名::变量名`来访问其他包的变量。示例展示了`main`和`Foo`两个包的交互,利用`__PACKAGE__`变量显示当前包名。程序输出显示了不同包中变量的独立性。
49 2
|
7月前
|
存储 Linux Perl
Perl 教程 之 Perl 包和模块 5
Perl模块创建可借助h2xs工具,如`h2xs -AX -n Person`来生成模块Person,包括README、Changes、Makefile.PL、MANIFEST、Person.pm测试脚本等文件。MANIFEST用于打包tar.gz发布到CPAN或分享。lib/存储源码,t/存放测试脚本。
72 0
|
7月前
|
Perl
Perl 教程 之 Perl 包和模块 6
在Perl教程中,了解Perl包和模块的安装:解压Person.tar.gz,进入目录,运行"perl Makefile.PL"生成Makefile,接着"make"编译,"make test"检查,最后"make install"安装到系统。
51 0
|
7月前
|
编译器 Linux C语言
Valgrind兼容性解析:从核心依赖到错误诊断
Valgrind兼容性解析:从核心依赖到错误诊断
272 0
|
编译器 程序员 C++
如何在项目中引入googtest(下)——通过CMake引入库
如何在项目中引入googtest(下)——通过CMake引入库
202 0
|
Perl
如何安装perl模块
由于生物信息早期最多用的语言是perl,因此不可避免就要用别人的perl脚本或者基于perl的项目来处理数据。 使用perl脚本和使用其他编程语言的脚本没啥不同,毕竟你只要传入参数,它就能给你结果。
3233 0