|
CGI का अर्थ कॉमन गेटवे इंटरफेस है जो वेब पर डायनामिक कोड लिखने के लिए एक परिभाषित प्रोटोकॉल है. इसका उपयोग ऑनलाइन स्क्रिप्ट को निष्पादित करने के लिए भी किया जाता है.
पर्ल को वेब पर HTML पृष्ठों के लिए एक निष्पादन योग्य भाषा के रूप में स्वीकार किया गया था. पर्ल किसी भी अन्य सीजीआई भाषा के समान है, जिसमें एक कोड निष्पादित होने पर यह आधार ऑपरेटिंग सिस्टम के साथ एक इंटरफ़ेस बनाता है जो हमारे सिस्टम में घुसपैठ करने के लिए बाहरी बलों को एक मार्ग दे सकता है.
पर्ल स्वयं असुरक्षित नहीं है, हालांकि, प्रोग्रामर उपर्युक्त मार्ग बनाने के लिए हर दूसरे सीजीआई स्क्रिप्ट को डाउनलोड करने का प्रयास करते हैं. सीजीआई की सभी स्क्रिप्टें उतनी सुरक्षित नहीं हो सकतीं जितनी हम चाहते हैं कि वे हों. किसी भी CGI स्क्रिप्ट को ऑनलाइन डाउनलोड करते समय प्रोग्रामर को संदेह होना चाहिए. इस कार्रवाई के साथ कई सुरक्षा मानक जुड़े हुए हैं. बाहरी स्रोतों से डाउनलोड की गई किसी भी CGI स्क्रिप्ट में कोड में कई बग हो सकते हैं या स्क्रिप्ट में घुसपैठियों द्वारा जानबूझकर त्रुटियों को शामिल किया जा सकता है.
जैसे ही CGI स्क्रिप्ट ऑनलाइन होती है इसे पूरी दुनिया के लिए उपलब्ध कराया जाता है. ऑनलाइन दो प्रकार के लोग हैं जो CGI के माध्यम से हमारे सिस्टम में घुसपैठ कर सकते हैं और गंभीर समस्याएं पैदा कर सकते हैं. एक "हैकर्स" है जो सिस्टम के काम में हेरफेर करने के लिए जाने-माने लोग हैं. अन्य "क्रैकर्स" हैं, जो उन लोगों का अर्थ है जो वेब पेज को तोड़ते हैं या कुछ ऑनलाइन शरारत के लिए सिस्टम में प्रवेश करते हैं.
कई सीजीआई लिपियों को उनके कोड के भीतर सुरक्षा छेद होने के लिए जाना जाता है. उनमें से बहुत सारे पाए गए और किसी भी सुरक्षा भंग पैरामीटर को हटाने के लिए तय किया गया था लेकिन कुछ अभी भी ऑनलाइन उपलब्ध हैं. कई बार स्क्रिप्ट के पुराने संस्करण को चलाने से बड़ी समस्याएं पैदा होती हैं. एक को उन्हें ढूंढना चाहिए और बहुत देर होने से पहले उन्हें पूरी तरह से छुटकारा देना चाहिए.
असुरक्षित CGI लिपियों के कई उदाहरण हैं, कुछ इस प्रकार हैं -
दिसंबर 1998 में, यह पाया गया कि बहुत ही लोकप्रिय ऑनलाइन मेल सिस्टम हॉटमेल को अपनी CGI स्क्रिप्ट में एक दोष था जो उसी को चलाता है. इस स्क्रिप्ट ने मेल खातों में घुसपैठियों को अनुमति दी और उन्हें खाताधारकों के मेल के माध्यम से जाने की अनुमति दी. यह एक स्पष्ट सुरक्षा उल्लंघन था जिसने हॉटमेल के उपयोगकर्ताओं के मेल से निपटने के लिए अनधिकृत उपयोगकर्ताओं को शक्ति दी.
इस फ़ाइल को cgi-bin डायरेक्टरी में डाउनलोड नहीं किया जाना चाहिए. हालाँकि यह फ़ाइल डेटाबेस एक्सेस जैसी कई अच्छी सुविधाएँ प्रदान करती है इसे असुरक्षित CGI का एक रूप कहा जाता है. यह एक ऑनलाइन प्लेटफॉर्म पर किसी भी व्यक्ति को आपके व्यक्तिगत कंप्यूटर के माध्यम से उल्लंघन करने और वहां फाइलों के माध्यम से जाने की अनुमति देता है. वे एक व्यक्तिगत दस्तावेज भर में आ सकते हैं जिससे बड़ी परेशानी हो सकती है.
CGI वेब पेज कोड और एंड-यूज़र के बीच एक प्रवेश द्वार के रूप में कार्य करता है. इसमें कोई संदेह नहीं है कि यह मेजबान प्रणाली के माध्यम से जाता है और कोई भी इस प्रवेश द्वार तक बहुत आसानी से पहुंच सकता है और परेशानी का कारण बन सकता है.
ऐसे कई तरीके हैं जिनसे अनधिकृत उपयोगकर्ता आपके सिस्टम के माध्यम से घुसपैठ कर सकते हैं और आपकी महत्वपूर्ण जानकारी का दुरुपयोग कर सकते हैं. सीजीआई लिपियों को डाउनलोड करने के सुरक्षा मानदंडों पर विशेष ध्यान देकर इनसे बचा जा सकता है. कई तरीके जिनके द्वारा ये अवैध और असुरक्षित हमारे इंटरफेस को नुकसान पहुंचा सकते हैं निम्नानुसार चर्चा की जाती है.
1) असुरक्षित CGI सिस्टम मेजबान के कंप्यूटर वातावरण के बारे में महत्वपूर्ण और गोपनीय जानकारी को लीक कर सकता है. इससे ऑनलाइन प्लेटफॉर्म के माध्यम से सिस्टम की कुल पारदर्शिता हो सकती है.
2) सीजीआई कोड के दूरस्थ डेवलपर्स उपयोगकर्ताओं को कुछ कमांड निष्पादित करने के लिए उकसा सकते हैं जब उपयोगकर्ता को कई कार्यक्रमों या विधियों को निष्पादित करने के लिए कुछ इनपुट करने की आवश्यकता होती है.
जैसा कि पहले चर्चा की गई है एक प्रोग्रामर को अच्छी तरह से पता होना चाहिए कि कोई क्या उपयोग कर रहा है और एक की सुरक्षा सुनिश्चित करता है. उन्हें हमेशा हर सीजीआई स्क्रिप्ट पर संदेह होना चाहिए जिसे वे एक ऑनलाइन प्लेटफॉर्म के माध्यम से शामिल कर रहे हैं.