ДЕТСКИЙ ВЗЛОМ - ищем бажную CGI

Скрыпников Сергей aka Slam

Спецвыпуск Xakep, номер #025, стр. 025-026-1

(sergey@soobcha.org)

Вот ты, наверное, постоянно читаешь наш журнал и думаешь: "Все-таки это не для меня. Это слишком сложно. А вот это непонятно". Но теперь пришло то время, когда мы расскажем тебе о том, как можно быстро и без особых напрягов сломать какой-нибудь сервак. Ну что, заинтриговали мы тебя? Если да, то читай дальше, ничего сложного в этой статье нет, и если ты хоть немного представляешь себе то, как работает сервер, и чуть-чуть знаешь С или Perl, ты сразу же разберешься со всем этим и будет настоящим кул хаксором.

ТЕОРИЯ

Сегодня такие вещи, как гостевая книга, поиск по серверу, форма для отправки сообщений, - неотъемлемый атрибут практически любого серьезного сайта. Да что серьезного, теперь даже на домашние странички стараются запихнуть как можно больше всевозможных анкет, голосований и т.п. :).

Для начала, думаю, надо разобраться с понятиями (вообще разборки и понятия - сегодня очень актуально :). CGI-скрипт - это программа, которая выполняется на Web-сервере по запросу клиента. А клиент, как ты понимаешь, - это не кто иной, как ты ;). Программа эта принципиально ничем не отличается от обычных программ, которые установлены на твоем компе - будь то Word или Quake. CGI - это не язык программирования, на котором написан скрипт, а Common Gateway Interface - специальный интерфейс, с помощью которого и происходит запуск скрипта и взаимодействие с ним.

Как работает CGI-скрипт? Я, конечно, могу впихнуть тебе какое-нибудь техническое руководство, но пользы от этого будет мало. Поэтому объясню, как все происходит, на пальцах. Итак, посетитель страницы заполняет поля формы, например, для записи в гостевую книгу. После этого он нажимает кнопку "Submit" (ну или какую-либо другую, например, "Отправить"), которая и запускает cgi-скрипт. Скрипт выполняет запрограммированные действия - в данном случае считывает данные из формы и пишет их в файл гостевой книги - и посылает в твой браузер обычный HTML-код, например, сообщение: "Чувак, ты свободен. Все уже сделано. Тебя ждет подружка".

ЗАПОМНИ! Статья нацелена прежде всего на то, чтобы показать тебе, каких ошибок ты не должен допускать на своем собственном сайте.

Если ты сломаешь что-нибудь и дело дойдет до суда, то тебе грозит:

Статья 272 УК РФ. Неправомерный доступ к компьютерной информации.

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ),

системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы, или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.