[Moscow.pm] Безопасность Perl

[Vladimir Lettiev]

On Tue, Dec 29, 2015 at 04:41:39PM +0300, Ruslan Zakirov wrote:
> 2015-12-29 15:33 GMT+03:00 Vladimir Lettiev <thecrux на gmail.com>:
> 
> > Кроме того единственный представленный эксплойт для Багизиллы не работает
> > по дефолту из-за самой крутой фичи в безопасности языка, о которой товарищ
> > позорно умалчивает: Taint check.
> >
> 
> Не уйдет ли taint флаг при парсинге JSON ввода?

Думаю, что нет.

$ perl -T -e '
    use JSON;
    my $x = JSON::decode_json($ARGV[0]);
    open my $fh, ">", "$x->{test}" or die $!;
' '{ "test" : "data" }'

Insecure dependency in open while running with -T switch at -e line 1



-- 
Vladimir Lettiev aka crux ✉ theCrux на gmail.com