help injection in use Shell

[sublime]

Ciao a todos,
stavo facendo un interfaccia web per nslookup con perl, usando il comando nslookup tramite la direttiva use Shell qw(nslookup)...
Questo non dovrebbe significare che all'interno dello script posso solamente usare il comando di shell nslookup, e non altri?
Perche' purtoppo si riesce ad inserire altri comandi diversi da nslookup quando viene passato il parametro dall' url...
per intenderci quando vado ad inserire il valore del nslookup dentro ad una variabile

$var=nslookup($query_string);

e' facilmente inseribile un qualsiasi comando dell'utente www-data. Diciamo che e' abbastanza fastidioso... ;-)

Qualche idea su come evitare l'injection, senza ricorrere alla manipolazione di stringa dell'url?

Grazie

[shishii]

hai provato a fare funzionare l'interprete in modalità taint?

#!/usr/bin/perl -T

[sublime]

ho provato ora, purtroppo se uso il -T non interpreta neanche il comando nslookup, "importato" con la direttiva use Shell qw(nslookup). Come e' possibile usare un comando e solo uno di shell in uno script perl?

Grazie :-)

[shishii]

vediamo se ho capito bene... tu temi una cosa del genere?

codice:

$query_string = "1.2.3.4); system (cat /etc/passwd);";

$var=nslookup($query_string);

risultato l'attacker oltre al dns lookup vede anche il file delle password.

Se si tratta di questo allora l'unico modo è processare l'input.

Infatti è vero che scrivendo
use Shell qw(nslookup);
limiti l'uso del modulo al solo comando nslookup, ma *NON* limiti le funzioni interne di Perl tra le quali exec, system, e ``.

[sublime]

Esattamente, avrei voluto avere una sicurezza in piu' oltre al fatto di dover processare la stringa.... pazienza

Grazie Mille cmq