nprotech
06-03-2004, 07:44 PM
.. เพราะไพธอนมีฟังก์ชั่นจำนวนมากให้พวกเราได้ใช้งานอย่างสะดวกและมีประสิทธิภาพ ครับ !!
ยกตัวอย่างสคริปต์ต่อไปนี้ (win32)
import os
t = os.popen("dir /s/a").read()
ผลลัพธ์ของไฟล์ทั้งหมด จะถูกเก็บไว้ในตัวแปร t ซึ่งสามารถนำมาแสดงผลผ่านบราวเซอร์ได้ทันที ผมหมายถึงถ้าเขียนสคริปต์ CGI หมายความว่า เราสามารถตรวจสอบไฟล์ทั้งหมดใน server ด้วยคำสั่งเพียง 2 บรรทัดเท่านั้นเองครับ !!
สำหรับระบบยูนิกส์สามารถเรียกใช้คำสั่ง shell ผ่านฟังก์ชั่น popen()ได้เช่นเดียวกัน
แม้จะมีวิธีป้องกัน แต่ก็วิธีการอื่น ๆ อีกหลากหลายวิธีในการโจมตี Server ดังนั้น พวกเขาจึงตัดสินใจเลี่ยง.. ไม่อนุญาตให้ใช้ไพธอนครับ..
ยกตัวอย่างสคริปต์ต่อไปนี้ (win32)
import os
t = os.popen("dir /s/a").read()
ผลลัพธ์ของไฟล์ทั้งหมด จะถูกเก็บไว้ในตัวแปร t ซึ่งสามารถนำมาแสดงผลผ่านบราวเซอร์ได้ทันที ผมหมายถึงถ้าเขียนสคริปต์ CGI หมายความว่า เราสามารถตรวจสอบไฟล์ทั้งหมดใน server ด้วยคำสั่งเพียง 2 บรรทัดเท่านั้นเองครับ !!
สำหรับระบบยูนิกส์สามารถเรียกใช้คำสั่ง shell ผ่านฟังก์ชั่น popen()ได้เช่นเดียวกัน
แม้จะมีวิธีป้องกัน แต่ก็วิธีการอื่น ๆ อีกหลากหลายวิธีในการโจมตี Server ดังนั้น พวกเขาจึงตัดสินใจเลี่ยง.. ไม่อนุญาตให้ใช้ไพธอนครับ..