sslug-teknik team mailing list archive

Thread
Date

Re: <-- LINUXNETWORK.DK -->

To: sslug-teknik@xxxxxxxx
From: henrik@xxxxxxxxxx (Henrik St�)
Date: 20 Nov 2000 22:56:22 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: Linux Users Inc.

In <200011202244.AA84672812@xxxxxxxxxxx> "Anders Jensen" <fraxis@xxxxxxxxxxx> writes:

>Det er absolut heller ikke nødvendigt at vise echo $HTTP_USER_AGENT i
>bunden af siden - jeg tror godt brugeren selv ved hvilket
>operativsystem han bruger, og at browseren er Mozilla-compatible.

Rent bortset fra at ubetænksom brug af sådanne variable ofte
kan misbruges til at eksekvere kommandoer til at tage kontrol
over serveren, f.eks. ved brug af special-tegn som '|' eller '`'

Jeg har dog ikke kigget på denne site for at se om der er noget
i det valgte sprog til at generere siderne, som antyder at det 
kunne misbruges her.
-- 
Henrik Storner      | "Crackers thrive on code secrecy. Cockcroaches breed 
<henrik@xxxxxxxxxx> |  in the dark. It's time to let the sunlight in."
                    |  
                    |          Eric S. Raymond, re. the Frontpage backdoor

Follow ups

Sv: <-- LINUXNETWORK.DK -->
From: Christian Precht Jensen, 2000-11-20

References

Re: <-- LINUXNETWORK.DK -->
From: Anders Jensen, 2000-11-20