综述 

Boa 作为一种轻巧实用的 WEB 服务器广泛应用于嵌入式设备上, 
但 Boa 对实现动态网页的 CGI  的支持上仍存在一些缺陷, 
本文描述了 Boa 对 CGI 的 Status/Location 的支持的缺陷及其修正方法.

版本: 所有版本 (0.94.13)
缺陷: BOA 解析 CGI 应答头时不能完整处理 Status 和 Location
缺陷描述:
CGI/1.1 标准规定, CGI 脚本可以通过 Status 设置 HTTP 应答状态(如, Status: 500 Internal Error) 和 
Location 进行地址重定向 (如, Location: www.xxx.com), 而不管它们在应答头中的位置.
Boa 支持 Stauts 和 Location 两种应答头, 但它的实现仅能正确处理 Stauts 和 Location 在应答第一行的
CGI 应答. 这将给 CGI 程序的移植带来很多不便, 进而影响 Boa 作为Web Server 的功能的发挥.

影响功能:
ASP/PHP/JSP/Perl/... 等的 header, redirect, ... 等都会应用到 Stauts/Location 进行设置应答状态和
地址重定向. Boa 的该实现将影响 CGI 脚本正常功能的使用.

缺陷功能对比(对Status/Location的支持程序):
Apache 1.3.x/2.x         IIS 4.x/5.x/6.X        Boa 0.9x                 thttpd                 mini-httpd
完全支持                        完全支持                * 部分支持                 完全支持               完全支持

缺陷分析

缺陷分析

CGI 应用程序进行应答时, 可以 HTTP 头进行有限的控制. 如,设置客户端不缓存页面可用下面的 C 脚本,
HTTP/1.0: printf("Pragma: no-cache\n"); 或
HTTP/1.1: printf("Cache-Control: no-cache; no-store\n"); 
如果, 同时还需要告诉浏览器进行设置 Cookie 和控制相应状态(200 OK) 或地址重定向, 
那么就必须输出多行 http 头控制语句, CGI 支持两个解析头 "Status: " 和 "Loction: ",
即协议规定, Web 服务器支持解析头时能使用 "Status: " 进行应答状态控制, 使用 "Location: " 进行地址重定向, 
并为应答添加状态头 "HTTP/1.0 302 Moved Temporarily\n" 或 "HTTP/1.1 302 Found\n".
而不管它们在 CGI 应答头的什么位置.

分析 Boa Source Code: 
cgi_header.c  Line 82-136 容易发现, Boa 只解析 CGI 应答的第一行, 是否为 "Status: ", "Location: ", 如下所示
 
 
  1. 23
  2. 24         int process_cgi_header(request * req)
  3. 25         {
  4. 26             char *buf;
  5. 27             char *c;
  6. 28
  7. 29             if (req->cgi_status != CGI_DONE)
  8. 30                 req->cgi_status = CGI_BUFFER;
  9. 31
  10. 32             buf = req->header_line;
  11. 33
  12. 34             c = strstr(buf, "\n\r\n");
  13. 35             if (c == NULL) {
  14. 36                 c = strstr(buf, "\n\n");
  15. 37                 if (c == NULL) {
  16. 38                     log_error_time();
  17. 39                     fputs("cgi_header: unable to find LFLF\n", stderr);
  18. 40         #ifdef FASCIST_LOGGING
  19. 41                     log_error_time();
  20. 42                     fprintf(stderr, "\"%s\"\n", buf);
  21. 43         #endif
  22. 44                     send_r_bad_gateway(req);
  23. 45                     return 0;
  24. 46                 }
  25. 47             }
  26. 48             if (req->simple) {
  27. 49                 if (*(c + 1) == '\r')
  28. 50                     req->header_line = c + 2;
  29. 51                 else
  30. 52                     req->header_line = c + 1;
  31. 53                 return 1;
  32. 54             }
  33. 55             if (!strncasecmp(buf, "Status: ", 8)) {
  34. 56                 req->header_line--;
  35. 57                 memcpy(req->header_line, "HTTP/1.0 ", 9);
  36. 58             } else if (!strncasecmp(buf, "Location: ", 10)) { /* got a location header */
  37. 59         #ifdef FASCIST_LOGGING
  38. 60
  39. 61                 log_error_time();
  40. 62                 fprintf(stderr, "%s:%d - found Location header \"%s\"\n",
  41. 63                         __FILE__, __LINE__, buf + 10);
  42. 64         #endif
  43. 65
  44. 66
  45. 67                 if (buf[10] == '/') {   /* virtual path */
  46. 68                     log_error_time();
  47. 69                     fprintf(stderr,
  48. 70                             "server does not support internal redirection: " \
  49. 71                             "\"%s\"\n", buf + 10);
  50. 72                     send_r_bad_request(req);
  51. 73
  52. 74                     /*
  53. 75                      * We (I, Jon) have declined to support absolute-path parsing
  54. 76                      * because I see it as a major security hole.
  55. 77                      * Location: /etc/passwd or Location: /etc/shadow is not funny.
  56. 78                      *
  57. 79                      * Also, the below code is borked.
  58. 80                      * request_uri could contain /cgi-bin/bob/extra_path
  59. 81                      */
  60. 82
  61. 83                     /*
  62. 84                        strcpy(req->request_uri, buf + 10);
  63. 85                        return internal_redirect(req);
  64. 86                      */
  65. 87                 } else {                /* URL */
  66. 88                     char *c2;
  67. 89                     c2 = strchr(buf + 10, '\n');
  68. 90                     /* c2 cannot ever equal NULL here because we already have found one */
  69. 91
  70. 92                     --c2;
  71. 93                     while (*c2 == '\r')
  72. 94                         --c2;
  73. 95                     ++c2;
  74. 96                     /* c2 now points to a '\r' or the '\n' */
  75. 97                     *c2++ = '\0';       /* end header */
  76. 98
  77. 99                     /* first next header, or is at req->header_end */
  78. 100                    while ((*c2 == '\n' || *c2 == '\r') && c2 < req->header_end)
  79. 101                        ++c2;
  80. 102                    if (c2 == req->header_end)
  81. 103                        send_r_moved_temp(req, buf + 10, "");
  82. 104                    else
  83. 105                        send_r_moved_temp(req, buf + 10, c2);
  84. 106                }
  85. 107                req->status = DONE;
  86. 108                return 1;
  87. 109            } else {                    /* not location and not status */
  88. 110                char *dest;
  89. 111                int howmuch;
  90. 112                send_r_request_ok(req); /* does not terminate */
  91. 113                /* got to do special things because
  92. 114                   a) we have a single buffer divided into 2 pieces
  93. 115                   b) we need to merge those pieces
  94. 116                   Easiest way is to memmove the cgi data backward until
  95. 117                   it touches the buffered data, then reset the cgi data pointers
  96. 118                 */
  97. 119                dest = req->buffer + req->buffer_end;
  98. 120                if (req->method == M_HEAD) {
  99. 121                    if (*(c + 1) == '\r')
  100. 122                        req->header_end = c + 2;
  101. 123                    else
  102. 124                        req->header_end = c + 1;
  103. 125                    req->cgi_status = CGI_DONE;
  104. 126                }
  105. 127                howmuch = req->header_end - req->header_line;
  106. 128
  107. 129                if (dest + howmuch > req->buffer + BUFFER_SIZE) {
  108. 130                    /* big problem */
  109. 131                    log_error_time();
  110. 130             fprintf(stderr, "Too much data to move! Aborting! %s %d\n",
  111. 131                    __FILE__, __LINE__);
  112. 132              /* reset buffer pointers because we already called
  113. 133                 send_r_request_ok... */
  114. 134              req->buffer_start = req->buffer_end = 0;
  115. 135              send_r_error(req);
  116. 136              return 0;
  117. 137          }
  118. 138          memmove(dest, req->header_line, howmuch);
  119. 139          req->buffer_end += howmuch;
  120. 140          req->header_line = req->buffer + req->buffer_end;
  121. 141          req->header_end = req->header_line;
  122. 142          req_flush(req);
  123. 143          if (req->method == M_HEAD)
  124. 144              return 0;
  125. 145      }
  126. 146      return 1;
  127. 147  }
  128. 148
  129. 149

修正方法

CGI 应答头包括多行, 我们必须对其进行逐行分析, 并作出正确的应答.
下面是修改好的源程序, 即将原来的 82-136 (即相当下文#else, #endif内部分) 替换成如下代码:

  1. #if 1
  2. while(1) {
  3. int         len;
  4. char *        pnext = NULL;
  5. char *         ptmp = NULL;
  6. /* not find HTTP header tailer */
  7. if (NULL == (pnext=strchr(buf, '\n')))        /* has no '\n' */
  8. break;
  9. /* the length of this line,
  10. * include '\n'
  11. */
  12. len = pnext - buf + 1;
  13. if (!strncasecmp(buf, "Location: ", 10)) {        /* got a location header */
  14. /* not the first one
  15. * exchange this line to the first line
  16. */
  17. if (buf != req->header_line)
  18. {
  19. if (NULL == (ptmp=(char *)malloc(len)))
  20. {
  21. log_error_time();
  22. perror("malloc");
  23. send_r_error(req);
  24. return 0;
  25. }
  26. /* move Status: to line header */
  27. memcpy(ptmp, buf, len);
  28. memmove(req->header_line+len, req->header_line, buf-req->header_line);
  29. memcpy(req->header_line, ptmp, len);
  30. free(ptmp);
  31. }
  32. /* force pointer header */
  33. buf = req->header_line;
  34. #ifdef FASCIST_LOGGING
  35. log_error_time();
  36. fprintf(stderr, "%s:%d - found Location header \"%s\"\n",
  37. __FILE__, __LINE__, buf + 10);
  38. #endif
  39. if (buf[10] == '/') {   /* virtual path */
  40. log_error_time();
  41. fprintf(stderr,
  42. "server does not support internal redirection: " \
  43. "\"%s\"\n", buf + 10);
  44. send_r_bad_request(req);
  45. /*
  46. * We (I, Jon) have declined to support absolute-path parsing
  47. * because I see it as a major security hole.
  48. * Location: /etc/passwd or Location: /etc/shadow is not funny.
  49. *
  50. * Also, the below code is borked.
  51. * request_uri could contain /cgi-bin/bob/extra_path
  52. */
  53. /*
  54. strcpy(req->request_uri, buf + 10);
  55. return internal_redirect(req);
  56. */
  57. } else {                /* URL */
  58. char *c2;
  59. c2 = strchr(buf + 10, '\n');
  60. /* c2 cannot ever equal NULL here because we already have found one */
  61. --c2;
  62. while (*c2 == '\r')
  63. --c2;
  64. ++c2;
  65. /* c2 now points to a '\r' or the '\n' */
  66. *c2++ = '\0';       /* end header */
  67. /* first next header, or is at req->header_end */
  68. while ((*c2 == '\n' || *c2 == '\r') && c2 < req->header_end)
  69. ++c2;
  70. if (c2 == req->header_end)
  71. send_r_moved_temp(req, buf + 10, "");
  72. else
  73. send_r_moved_temp(req, buf + 10, c2);
  74. }
  75. req->status = DONE;
  76. return 1;
  77. }  else if (!strncasecmp(buf, "Status: ", 8)) {
  78. /* not the first one
  79. * exchange this line to the first line
  80. */
  81. if (buf != req->header_line)
  82. {
  83. if (NULL == (ptmp=(char *)malloc(len)))
  84. {
  85. log_error_time();
  86. perror("malloc");
  87. send_r_error(req);
  88. return 0;
  89. }
  90. /* move Status: to line header */
  91. memcpy(ptmp, buf, len);
  92. memmove(req->header_line+len, req->header_line, buf-req->header_line);
  93. memcpy(req->header_line, ptmp, len);
  94. free(ptmp);
  95. }
  96. req->header_line--;
  97. memcpy(req->header_line, "HTTP/1.0 ", 9);
  98. return 1;
  99. }
  100. /* pointer to next line */
  101. buf = pnext + 1;
  102. /* reach the end of HTTP header */
  103. if ('\0' == buf[0] || '\n' == buf[0] || '\r' == buf[0])
  104. break;
  105. }
  106. if (1) {        /* always done */
  107. #else
  108. if (!strncasecmp(buf, "Status: ", 8)) {
  109. req->header_line--;
  110. memcpy(req->header_line, "HTTP/1.0 ", 9);
  111. } else if (!strncasecmp(buf, "Location: ", 10)) { /* got a location header */
  112. #ifdef FASCIST_LOGGING
  113. log_error_time();
  114. fprintf(stderr, "%s:%d - found Location header \"%s\"\n",
  115. __FILE__, __LINE__, buf + 10);
  116. #endif
  117. if (buf[10] == '/') {   /* virtual path */
  118. log_error_time();
  119. fprintf(stderr,
  120. "server does not support internal redirection: " \
  121. "\"%s\"\n", buf + 10);
  122. send_r_bad_request(req);
  123. /*
  124. * We (I, Jon) have declined to support absolute-path parsing
  125. * because I see it as a major security hole.
  126. * Location: /etc/passwd or Location: /etc/shadow is not funny.
  127. *
  128. * Also, the below code is borked.
  129. * request_uri could contain /cgi-bin/bob/extra_path
  130. */
  131. /*
  132. strcpy(req->request_uri, buf + 10);
  133. return internal_redirect(req);
  134. */
  135. } else {                /* URL */
  136. char *c2;
  137. c2 = strchr(buf + 10, '\n');
  138. /* c2 cannot ever equal NULL here because we already have found one */
  139. --c2;
  140. while (*c2 == '\r')
  141. --c2;
  142. ++c2;
  143. /* c2 now points to a '\r' or the '\n' */
  144. *c2++ = '\0';       /* end header */
  145. /* first next header, or is at req->header_end */
  146. while ((*c2 == '\n' || *c2 == '\r') && c2 < req->header_end)
  147. ++c2;
  148. if (c2 == req->header_end)
  149. send_r_moved_temp(req, buf + 10, "");
  150. else
  151. send_r_moved_temp(req, buf + 10, c2);
  152. }
  153. req->status = DONE;
  154. return 1;
  155. } else {                    /* not location and not status */
  156. #endif

转载连接:http://bbs.chinaunix.net/forum.php?mod=viewthread&tid=824840

Boa Web Server 缺陷报告及其修正方法的更多相关文章

  1. 简易web server之python实现

    网络编程一项基本功是socket编程,包括TCP socket,UDP socket的客户端.服务器端编程. 应用层的各路协议如http,smtp,telnet,ftp等都依赖于传输层的TCP或者UD ...

  2. Tomcat建立多个应用(Web Server),多个主机,多个站点的方法

    https://blog.csdn.net/chungle2011/article/details/52317433 http://piperzero.iteye.com/blog/1475773 转 ...

  3. 咏南中间件当作WEB SERVER使用方法

    咏南中间件当作WEB SERVER使用方法 1)开启咏南中间件 2)浏览器打开http://localhost:5566/web?page=echo.html

  4. [Windows Server 2008] IIS配置伪静态方法(Web.config模式的IIS rewrite)

    ★ 欢迎来到[护卫神·V课堂],网站地址:http://v.huweishen.com★ 护卫神·V课堂 是护卫神旗下专业提供服务器教学视频的网站,每周更新视频.★ 本节我们将带领大家:安装伪静态(w ...

  5. VisualSVN Server的配置和使用方法(转)

    1.为什么要用VisualSVN Server,而不用Subversion? 回答: 因为如果直接使用Subversion,那么在Windows 系统上,要想让它随系统启动,就要封装SVN Serve ...

  6. Web Server PROPFIND Method internal IP Discosure

    Title:Web Server PROPFIND Method internal IP Discosure  --2012-11-09 09:47 Nessus扫描出来一个安全缺陷,Web Serv ...

  7. The Web server is configured to not list the contents of this directory.

    部署一个ASP.NET MVC网站至一个全新的服务器Windows Server 2008 R2, 数据为MS SQL Server 2014 64bit Expression版本. 运行时,它第一次 ...

  8. 【转】推荐介绍几款小巧的Web Server程序

    原博地址:http://blog.csdn.net/heiyeshuwu/article/details/1753900 偶然看到几个小巧有趣的Web Server程序,觉得有必要拿来分享一下,让大家 ...

  9. VisualSVN Server的配置和使用方法 图文

    转载 http://www.jb51.net/article/17365.htm VisualSVN Server是免费的,而VisualSVN是收费的.VisualSVN是SVN的客户端,和Visu ...

随机推荐

  1. 「新特性」Spring Boot 全局懒加载机制了解一下

    关于延迟加载 在 Spring 中,默认情况下所有定的 bean 及其依赖项目都是在应用启动时创建容器上下文是被初始化的.测试代码如下: @Slf4j @Configuration public cl ...

  2. pycharm pymysql连接mysql 报错 pymysql.err.InterfaceError: (0, '')

    pycharm  pymysql连接mysql  执行MySQL操作遇到以下报错信息: conn.query(q) File "C:\Software\Python37\lib\site-p ...

  3. Go-25-文件管理

    FileInfo接口 package main import ( "fmt" "os" ) // FileInfo 接口文件的信息包括文件名.文件大小.修改权限 ...

  4. 浅入Kubernetes(10):控制节点的部署,选择器、亲和性、污点

    目录 标签和nodeSelector 标签选择 亲和性和反亲和性 污点和容忍度 系统默认污点 容忍度 DaemonSet 在前面的学习中,我们学到了 Deployment 部署,以及副本数(Repli ...

  5. 031- 控制语句switch

    语法 switch(表达式){ case 值1: java语句; break; case 值2: java语句; break; case 值3: java语句; break; default: jav ...

  6. 使用 mvn install 命令将本地jar包注册到本地maven仓库

    前提: 要安装maven并配置环境变量. windows 系统环境变量配置 新建环境变量:MAVEN_HOME    值为:maven的解压包路径或安装路径. 在path 环境变量中添加:%MAVEN ...

  7. Windows下Nexus 5的Android 5.0以上版本官方ROM的刷机教程

    博客链接:http://blog.csdn.net/qq1084283172/article/details/52334452 折腾Android逆向的时候,经常需要给Nexus 5刷机.最近给Nex ...

  8. 从苏宁电器到卡巴斯基第29篇:难忘的三年硕士时光 VII

    我们可能无家可归 那天晚上和导师道别后,我们几个还聚在一起开了一个小会.当时大家觉得最坏的情况就是学院不肯让步,不能满足我们导师提出的条件.那么这样的话,我们几个只能够重新找导师了.而我们数媒专业里面 ...

  9. UVA11729突击战(汇报和执行任务)

    题意:       你是一个长官,有一些士兵要跟你先汇报任务后在去执行任务,每次只能接受一个人的汇报,但是每一时刻可以有多个士兵在执行任务,问所有任务执行完要的最小时间. 思路:        按执行 ...

  10. POJ1258最小生成树简单题

    题意:       给你个图,让你求一颗最小生成树. 思路:      裸题,克鲁斯卡尔或者普利姆都行. #include<stdio.h> #include<algorithm&g ...