Perl CGI Security Kya Hai
CGI का अर्थ कॉमन गेटवे इंटरफेस है जो वेब पर डायनामिक कोड लिखने के लिए एक परिभाषित प्रोटोकॉल है. इसका उपयोग ऑनलाइन स्क्रिप्ट को निष्पादित करने के लिए भी किया जाता है.
पर्ल को वेब पर HTML पृष्ठों के लिए एक निष्पादन योग्य भाषा के रूप में स्वीकार किया गया था. पर्ल किसी भी अन्य सीजीआई भाषा के समान है, जिसमें एक कोड निष्पादित होने पर यह आधार ऑपरेटिंग सिस्टम के साथ एक इंटरफ़ेस बनाता है जो हमारे सिस्टम में घुसपैठ करने के लिए बाहरी बलों को एक मार्ग दे सकता है.
पर्ल स्वयं असुरक्षित नहीं है, हालांकि, प्रोग्रामर उपर्युक्त मार्ग बनाने के लिए हर दूसरे सीजीआई स्क्रिप्ट को डाउनलोड करने का प्रयास करते हैं. सीजीआई की सभी स्क्रिप्टें उतनी सुरक्षित नहीं हो सकतीं जितनी हम चाहते हैं कि वे हों. किसी भी CGI स्क्रिप्ट को ऑनलाइन डाउनलोड करते समय प्रोग्रामर को संदेह होना चाहिए. इस कार्रवाई के साथ कई सुरक्षा मानक जुड़े हुए हैं. बाहरी स्रोतों से डाउनलोड की गई किसी भी CGI स्क्रिप्ट में कोड में कई बग हो सकते हैं या स्क्रिप्ट में घुसपैठियों द्वारा जानबूझकर त्रुटियों को शामिल किया जा सकता है.
जैसे ही CGI स्क्रिप्ट ऑनलाइन होती है इसे पूरी दुनिया के लिए उपलब्ध कराया जाता है. ऑनलाइन दो प्रकार के लोग हैं जो CGI के माध्यम से हमारे सिस्टम में घुसपैठ कर सकते हैं और गंभीर समस्याएं पैदा कर सकते हैं. एक "हैकर्स" है जो सिस्टम के काम में हेरफेर करने के लिए जाने-माने लोग हैं. अन्य "क्रैकर्स" हैं, जो उन लोगों का अर्थ है जो वेब पेज को तोड़ते हैं या कुछ ऑनलाइन शरारत के लिए सिस्टम में प्रवेश करते हैं.
Insecure CGI क्या है
कई सीजीआई लिपियों को उनके कोड के भीतर सुरक्षा छेद होने के लिए जाना जाता है. उनमें से बहुत सारे पाए गए और किसी भी सुरक्षा भंग पैरामीटर को हटाने के लिए तय किया गया था लेकिन कुछ अभी भी ऑनलाइन उपलब्ध हैं. कई बार स्क्रिप्ट के पुराने संस्करण को चलाने से बड़ी समस्याएं पैदा होती हैं. एक को उन्हें ढूंढना चाहिए और बहुत देर होने से पहले उन्हें पूरी तरह से छुटकारा देना चाहिए.
असुरक्षित CGI लिपियों के कई उदाहरण हैं, कुछ इस प्रकार हैं -
Hotmail
दिसंबर 1998 में, यह पाया गया कि बहुत ही लोकप्रिय ऑनलाइन मेल सिस्टम हॉटमेल को अपनी CGI स्क्रिप्ट में एक दोष था जो उसी को चलाता है. इस स्क्रिप्ट ने मेल खातों में घुसपैठियों को अनुमति दी और उन्हें खाताधारकों के मेल के माध्यम से जाने की अनुमति दी. यह एक स्पष्ट सुरक्षा उल्लंघन था जिसने हॉटमेल के उपयोगकर्ताओं के मेल से निपटने के लिए अनधिकृत उपयोगकर्ताओं को शक्ति दी.
PHP.CGI
इस फ़ाइल को cgi-bin डायरेक्टरी में डाउनलोड नहीं किया जाना चाहिए. हालाँकि यह फ़ाइल डेटाबेस एक्सेस जैसी कई अच्छी सुविधाएँ प्रदान करती है इसे असुरक्षित CGI का एक रूप कहा जाता है. यह एक ऑनलाइन प्लेटफॉर्म पर किसी भी व्यक्ति को आपके व्यक्तिगत कंप्यूटर के माध्यम से उल्लंघन करने और वहां फाइलों के माध्यम से जाने की अनुमति देता है. वे एक व्यक्तिगत दस्तावेज भर में आ सकते हैं जिससे बड़ी परेशानी हो सकती है.
Consequences of Insecure CGI
CGI वेब पेज कोड और एंड-यूज़र के बीच एक प्रवेश द्वार के रूप में कार्य करता है. इसमें कोई संदेह नहीं है कि यह मेजबान प्रणाली के माध्यम से जाता है और कोई भी इस प्रवेश द्वार तक बहुत आसानी से पहुंच सकता है और परेशानी का कारण बन सकता है.
ऐसे कई तरीके हैं जिनसे अनधिकृत उपयोगकर्ता आपके सिस्टम के माध्यम से घुसपैठ कर सकते हैं और आपकी महत्वपूर्ण जानकारी का दुरुपयोग कर सकते हैं. सीजीआई लिपियों को डाउनलोड करने के सुरक्षा मानदंडों पर विशेष ध्यान देकर इनसे बचा जा सकता है. कई तरीके जिनके द्वारा ये अवैध और असुरक्षित हमारे इंटरफेस को नुकसान पहुंचा सकते हैं निम्नानुसार चर्चा की जाती है.
1) असुरक्षित CGI सिस्टम मेजबान के कंप्यूटर वातावरण के बारे में महत्वपूर्ण और गोपनीय जानकारी को लीक कर सकता है. इससे ऑनलाइन प्लेटफॉर्म के माध्यम से सिस्टम की कुल पारदर्शिता हो सकती है.
2) सीजीआई कोड के दूरस्थ डेवलपर्स उपयोगकर्ताओं को कुछ कमांड निष्पादित करने के लिए उकसा सकते हैं जब उपयोगकर्ता को कई कार्यक्रमों या विधियों को निष्पादित करने के लिए कुछ इनपुट करने की आवश्यकता होती है.
जैसा कि पहले चर्चा की गई है एक प्रोग्रामर को अच्छी तरह से पता होना चाहिए कि कोई क्या उपयोग कर रहा है और एक की सुरक्षा सुनिश्चित करता है. उन्हें हमेशा हर सीजीआई स्क्रिप्ट पर संदेह होना चाहिए जिसे वे एक ऑनलाइन प्लेटफॉर्म के माध्यम से शामिल कर रहे हैं.