← Back to team overview

sslug-teknik team mailing list archive

Re: <-- LINUXNETWORK.DK -->

 

In <200011202244.AA84672812@xxxxxxxxxxx> "Anders Jensen" <fraxis@xxxxxxxxxxx> writes:


>Det er absolut heller ikke nødvendigt at vise echo $HTTP_USER_AGENT i
>bunden af siden - jeg tror godt brugeren selv ved hvilket
>operativsystem han bruger, og at browseren er Mozilla-compatible.

Rent bortset fra at ubetænksom brug af sådanne variable ofte
kan misbruges til at eksekvere kommandoer til at tage kontrol
over serveren, f.eks. ved brug af special-tegn som '|' eller '`'

Jeg har dog ikke kigget på denne site for at se om der er noget
i det valgte sprog til at generere siderne, som antyder at det 
kunne misbruges her.
-- 
Henrik Storner      | "Crackers thrive on code secrecy. Cockcroaches breed 
<henrik@xxxxxxxxxx> |  in the dark. It's time to let the sunlight in."
                    |  
                    |          Eric S. Raymond, re. the Frontpage backdoor


Follow ups

References