Perl CGI Security Kya Hai

CGI का अर्थ कॉमन गेटवे इंटरफेस है जो वेब पर डायनामिक कोड लिखने के लिए एक परिभाषित प्रोटोकॉल है. इसका उपयोग ऑनलाइन स्क्रिप्ट को निष्पादित करने के लिए भी किया जाता है.

पर्ल को वेब पर HTML पृष्ठों के लिए एक निष्पादन योग्य भाषा के रूप में स्वीकार किया गया था. पर्ल किसी भी अन्य सीजीआई भाषा के समान है, जिसमें एक कोड निष्पादित होने पर यह आधार ऑपरेटिंग सिस्टम के साथ एक इंटरफ़ेस बनाता है जो हमारे सिस्टम में घुसपैठ करने के लिए बाहरी बलों को एक मार्ग दे सकता है.

पर्ल स्वयं असुरक्षित नहीं है, हालांकि, प्रोग्रामर उपर्युक्त मार्ग बनाने के लिए हर दूसरे सीजीआई स्क्रिप्ट को डाउनलोड करने का प्रयास करते हैं. सीजीआई की सभी स्क्रिप्टें उतनी सुरक्षित नहीं हो सकतीं जितनी हम चाहते हैं कि वे हों. किसी भी CGI स्क्रिप्ट को ऑनलाइन डाउनलोड करते समय प्रोग्रामर को संदेह होना चाहिए. इस कार्रवाई के साथ कई सुरक्षा मानक जुड़े हुए हैं. बाहरी स्रोतों से डाउनलोड की गई किसी भी CGI स्क्रिप्ट में कोड में कई बग हो सकते हैं या स्क्रिप्ट में घुसपैठियों द्वारा जानबूझकर त्रुटियों को शामिल किया जा सकता है.

जैसे ही CGI स्क्रिप्ट ऑनलाइन होती है इसे पूरी दुनिया के लिए उपलब्ध कराया जाता है. ऑनलाइन दो प्रकार के लोग हैं जो CGI के माध्यम से हमारे सिस्टम में घुसपैठ कर सकते हैं और गंभीर समस्याएं पैदा कर सकते हैं. एक "हैकर्स" है जो सिस्टम के काम में हेरफेर करने के लिए जाने-माने लोग हैं. अन्य "क्रैकर्स" हैं, जो उन लोगों का अर्थ है जो वेब पेज को तोड़ते हैं या कुछ ऑनलाइन शरारत के लिए सिस्टम में प्रवेश करते हैं.

Insecure CGI क्या है

कई सीजीआई लिपियों को उनके कोड के भीतर सुरक्षा छेद होने के लिए जाना जाता है. उनमें से बहुत सारे पाए गए और किसी भी सुरक्षा भंग पैरामीटर को हटाने के लिए तय किया गया था लेकिन कुछ अभी भी ऑनलाइन उपलब्ध हैं. कई बार स्क्रिप्ट के पुराने संस्करण को चलाने से बड़ी समस्याएं पैदा होती हैं. एक को उन्हें ढूंढना चाहिए और बहुत देर होने से पहले उन्हें पूरी तरह से छुटकारा देना चाहिए.

असुरक्षित CGI लिपियों के कई उदाहरण हैं, कुछ इस प्रकार हैं -

Hotmail

दिसंबर 1998 में, यह पाया गया कि बहुत ही लोकप्रिय ऑनलाइन मेल सिस्टम हॉटमेल को अपनी CGI स्क्रिप्ट में एक दोष था जो उसी को चलाता है. इस स्क्रिप्ट ने मेल खातों में घुसपैठियों को अनुमति दी और उन्हें खाताधारकों के मेल के माध्यम से जाने की अनुमति दी. यह एक स्पष्ट सुरक्षा उल्लंघन था जिसने हॉटमेल के उपयोगकर्ताओं के मेल से निपटने के लिए अनधिकृत उपयोगकर्ताओं को शक्ति दी.

PHP.CGI

इस फ़ाइल को cgi-bin डायरेक्टरी में डाउनलोड नहीं किया जाना चाहिए. हालाँकि यह फ़ाइल डेटाबेस एक्सेस जैसी कई अच्छी सुविधाएँ प्रदान करती है इसे असुरक्षित CGI का एक रूप कहा जाता है. यह एक ऑनलाइन प्लेटफॉर्म पर किसी भी व्यक्ति को आपके व्यक्तिगत कंप्यूटर के माध्यम से उल्लंघन करने और वहां फाइलों के माध्यम से जाने की अनुमति देता है. वे एक व्यक्तिगत दस्तावेज भर में आ सकते हैं जिससे बड़ी परेशानी हो सकती है.

Consequences of Insecure CGI

CGI वेब पेज कोड और एंड-यूज़र के बीच एक प्रवेश द्वार के रूप में कार्य करता है. इसमें कोई संदेह नहीं है कि यह मेजबान प्रणाली के माध्यम से जाता है और कोई भी इस प्रवेश द्वार तक बहुत आसानी से पहुंच सकता है और परेशानी का कारण बन सकता है.

ऐसे कई तरीके हैं जिनसे अनधिकृत उपयोगकर्ता आपके सिस्टम के माध्यम से घुसपैठ कर सकते हैं और आपकी महत्वपूर्ण जानकारी का दुरुपयोग कर सकते हैं. सीजीआई लिपियों को डाउनलोड करने के सुरक्षा मानदंडों पर विशेष ध्यान देकर इनसे बचा जा सकता है. कई तरीके जिनके द्वारा ये अवैध और असुरक्षित हमारे इंटरफेस को नुकसान पहुंचा सकते हैं निम्नानुसार चर्चा की जाती है.

1) असुरक्षित CGI सिस्टम मेजबान के कंप्यूटर वातावरण के बारे में महत्वपूर्ण और गोपनीय जानकारी को लीक कर सकता है. इससे ऑनलाइन प्लेटफॉर्म के माध्यम से सिस्टम की कुल पारदर्शिता हो सकती है.

2) सीजीआई कोड के दूरस्थ डेवलपर्स उपयोगकर्ताओं को कुछ कमांड निष्पादित करने के लिए उकसा सकते हैं जब उपयोगकर्ता को कई कार्यक्रमों या विधियों को निष्पादित करने के लिए कुछ इनपुट करने की आवश्यकता होती है.

जैसा कि पहले चर्चा की गई है एक प्रोग्रामर को अच्छी तरह से पता होना चाहिए कि कोई क्या उपयोग कर रहा है और एक की सुरक्षा सुनिश्चित करता है. उन्हें हमेशा हर सीजीआई स्क्रिप्ट पर संदेह होना चाहिए जिसे वे एक ऑनलाइन प्लेटफॉर्म के माध्यम से शामिल कर रहे हैं.