[閒聊] 2017.W36 - 了解你在寫的程式 Part II
2017.W36 - 了解你在寫的程式 Part II
> 了解用的每一個函數 直到被發現有漏洞為止
## 前言 ##
最近心很累 尤其是發現大家對資安都不怎麼重視
衝功能的代價通常 半年之後會陸續需要擦屁股
只是最近看到屎的那個人是我 ...
## 內容 ##
cURL [0] 是一個常見的檔案傳輸工具 用來上傳、下載檔案
也提供額外的 C 函式庫 libcurl 讓第三方使用
目前支援了多種常見的網路協議 包含 HTTP、FTPS、SCP、Telnet、IMAP 等
當需要操作 cURL 做額外設定的時候 可以使用 curl_easy_setopt 函數
最近發現 常犯的幾個 libcurl 使用上的 '錯誤'
其一是 CURLOPT_SSL_VERIFYPEER [1] 設置為 0 表示不驗證 HTTPS
另一個則是 CURLOPT_PROTOCOLS [2] 跟 CURLOPT_REDIR_PROTOCOLS
預設的 libcurl 會支援所有可以支援的 Protocol
稍有不慎 (也就是開放讓使用者輸入完整 URI) 會開啟 File:// 等危險的本地協議
另一種 CURLOPT_REDIR_PROTOCOLS 沒有設定正確
就容易有 SSRF 等安全疑慮存在
[0]: https://curl.haxx.se
[1]: https://curl.haxx.se/libcurl/c/CURLOPT_SSL_VERIFYPEER.html
[2]: https://curl.haxx.se/libcurl/c/CURLOPT_PROTOCOLS.html
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.193.122.171
※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1504624698.A.E72.html
推
09/06 09:37, , 1F
09/06 09:37, 1F
推
09/16 16:54, , 2F
09/16 16:54, 2F
推
09/18 14:38, , 3F
09/18 14:38, 3F
推
10/30 01:40, , 4F
10/30 01:40, 4F
NetSecurity 近期熱門文章
PTT數位生活區 即時熱門文章