システムプログラム（第10回）: Web CGI プログラミング(2)

                                       筑波大学 システム情報系 情報工学域
                                       新城 靖
                                       <yas@cs.tsukuba.ac.jp>

このページは、次の URL にあります。
https://www.coins.tsukuba.ac.jp/~syspro/2024/2024-07-31/index.html
あるいは、次のページから手繰っていくこともできます。
https://www.coins.tsukuba.ac.jp/~syspro/2024/
http://www.coins.tsukuba.ac.jp/~yas/

捕捉

Coins での Web ページの作成と公開

Coins で Web ページを作り、全世界に公開する方法の説明は、次のページにある。

ユーザ apache

Web サーバは、「apache」という名前のユーザの UID で動作している。

第0回端末(2)(この講義の補講)/課題(30) 端末(2)/問題(9)

$ id yas 
uid=1013(yas) gid=5510(prof) groups=5510(prof),6023(coins-2024),5020(c-admin),
6019(coins-2019),5065(c-spec),5150(tebiki),6000(c-comp),5180(c-gakusei)
$ getent passwd yas 
yas:*:1013:5510:Yasushi SHINJO:/home/prof/yas:/bin/bash
$ id apache 
uid=48(apache) gid=48(apache) groups=48(apache)
$ getent passwd apache 
apache:x:48:48:Apache:/usr/share/httpd:/sbin/nologin
$ ps aux | egrep apache | head -3 
apache      2095  0.0  0.2 2377784 43344 ?       Sl    7月05   2:28 /usr/sbin/httpd -DFOREGROUND
apache      2096  0.0  0.2 2377784 47796 ?       Sl    7月05   2:32 /usr/sbin/httpd -DFOREGROUND
apache      2097  0.0  0.3 2443320 49896 ?       Sl    7月05   2:29 /usr/sbin/httpd -DFOREGROUND
$

HTML ファイルや CGI のファイルは、この UID のプロセスからアクセスできる状態でなければならない。アクセスできない時には、Web サーバは、HTTP のヘッダの status line では 403 Forbidden 、本文では HTML で次のようなものを返す。

Forbidden You don't have permission to access /~ユーザ名/・・・ on this server.

この状態を修復するには、Web サーバが HTML や CGI のファイルがアクセスようにする。すなわち、自分でもグループでもなく、その他のユーザが HTML ファイルを read できるか、CGI のプログラムを exec できるかを確認する。

$ ls -l cgi-hello.cgi 
-rwxr-xr-x 1 yas prof 8488  6月 14 12:04 cgi-hello.cgi
$

システムコールを使ったファイルのコピー(filecopy-syscall.c) で出てきた次の部分に注目。

    18          fpd = open("dst", O_WRONLY | O_CREAT | O_TRUNC, 0644);

こうして作成されたファイルのモードは、最大 644 (rw-r--r--) になる。 umask が 0022 なら、これも引かれる。 umask が 0022 なら、次のようにしても 644 のファイルが作成される。シェルの標準出力のリダイレクションでは、0666 が使われている。

                fpd = open("dst", O_WRONLY | O_CREAT | O_TRUNC, 0666);

アクセスできるかどうかは、末端のファイルだけでなく、ルートディレクからこのファイルに至るまでのディレクトリのモード(xビット)も関係する。

/home/prof/yas/public_html/syspro-cgi-examples/cgi-hello.cgi

ホーム・ディレクトリのモードが次のように 700 (rwx------) になっていると、Web ページを公開することはできない。Web サーバのプロセスは、このホームディレクトリ以下のファイルを一切アクセスできない。

$ ls -ld ~ 
drwx------ 36 s2154321 ugrad 4096  2月 12 23:23 /home/ugrad/21/s2154321
$

少なくとも、次のように 701 (rwx-----x)になっていなければならない。

$ ls -ld ~ 
drwx-----x 36 s2154321 ugrad 4096  2月 12 23:23 /home/ugrad/21/s2154321
$

ホームディレクトリのモードを変更すると、Web ページは公開できるようになるが、その副作用として、他人がファイル名を知っていれば、レポートのファイル等をアクセス可能になることがある。他人にアクセスさせたくなければ、ホームディレクトリではなく、それ以下の個々のファイルやディレクトリのモードを変更する必要がある。変更する前に、この点をきちんと理解すること。

ディレクトリのxの働き参照。

連絡

レポート提出ページは、8月5日月曜日22:00:00 に閉じます。再提出になったものも、それまでに提出してください。
Twins にある授業評価アンケートへの回答お願いします。締切は、8月29日です。

JavaScript

JavaScript は、Web ブラウザ上で動作するスクリプト言語の代表である。 Ecma International により標準化されたものは、ECMAScript

JavaScript は、文法が少し Java 言語に似ているが、Java とはまったく別の言語である。 JavaScript の記述は、「実行可能なインライン・テキスト」と言える。

JavaScrip のプログラムの例:

<SCRIPT LANGUAGE="JavaScript">
<!--
for( i=0 ; i<10; i++ )
  document.writeln("<P>hello,world</P>");
//-->
</SCRIPT>

これは、<P>hello,world</P> を 10 回書いたのと同じ効果がある。<!--と //->は、JavaScriptを知らないブラウザにはコメントとして扱われる。関数定義などは、ヘッダ部分 <HEAD></HEAD>に書くという方法もよく使われる。

[実行例]

JavaScript の言語としての特徴

データ型として、数(整数、小数)、文字列、boolean、配列、オブジェクト(ハッシュ表)、関数がある。C 言語と似た演算子がある。
制御構造には、for、while 、 if, else, continue, break, switch case がある。 try, catch, throwによる例外を扱う機能がある。
キーワード function で、関数定義ができる。
変数には型はない。var で宣言すれば、ローカル変数になる。配列は、new Array(長さ) で確保する。
関数呼び出しは、Java と同じく、値呼び(call-by-value)である。オブジェクトは、参照のコピーが渡される。
プロトタイプ・ベースのオブジェクト指向言語。 class というキーワードは、もともとはない(EcmaScrypt 6 2015で導入)。 function に new を付けて呼べば、オブジェクトになる。オブジェクトのメソッドでは、this を使って要素を参照できる。自分で持っていないフィールドは、プロトタイプを探しにいく。

JavaScript によるブラウザの制御

JavaScript の記述は、CGI と似ているところもあるが、JavaScript でないとできないものに、ブラウザの制御がある。たとえば、次の例では、ブラウザの (戻る)ボタンと同じ動きをさせることができる。

<A HREF="javascript:history.back();">[戻る]</A>

[実行例]

次の例は、<FORM></FORM>からパラメタを受け取るものである。


<SCRIPT LANGUAGE="JavaScript">
<!--
function go(s,h,p)
{
	location.href = s.value + "://" + h.value + p.value ;
}
//-->
</SCRIPT>

<FORM NAME="form1">
Scheme: <INPUT NAME="scheme" TYPE="text" VALUE="http"><BR>
Host: <INPUT NAME="host"   TYPE="text"><BR>
Path: <INPUT NAME="path"   TYPE="text" VALUE="/"><BR>
<INPUT TYPE="button" VALUE="go" onClick="go(form1.scheme,form1.host,form1.path)">
</FORM>

onClick 属性の値は、クリックした時に評価される式であり、関数 go() が呼び出されている。引数は、<FORM> の値である。関数 go() の中では、 .value フィールドから値が読み出されている。 location.href に代入することでそのページを表示させることができる。

[実行例]

この例では、<INPUT type="text">と <INPUT type="button">が使われている。その他に、 <FORM>では、<INPUT TYPE="radio">、<INPUT TYPE="checkbox">、 <SELECT>が使える。イベントとしては、 onClick が主に使われる。その他に、 onFocus が使われることもある。

JavaScript では、document.open() で新しく HTML のドキュメントを生成して、それをブラウザに表示させることもできる。

クロスサイトスクリプティング攻撃

Webブラウザでは、信頼しているサイトから送られてくるJavaScriptのプログラムだけを実行するようにし、攻撃サイトから送られてくるJavaScriptのプログラムを実行しないようにしたい。

Web ブラウザは、同一オリジンポリシー(Same Origin Policy) を実装している。Web サイト(origin) ごとに cookie や localStorage が隔離される。ある Web サイトから届いた JavaScript のプログラムは、他のWeb サイトのデータをアクセスする時に規制を受ける。

Web ブラウザ、攻撃サイト、信頼しているサイト、JavaScriptのプログラム
図? JavaScripの送信元サイトの区別

脆弱性があるサイトでは、Web ブラウザを経由して攻撃サイトから送られてきた JavaScript のプログラムを中継してしまう。悪意のある JavaScript のプログラムが、攻撃サイト－＞Ｗｅｂブラウザ－脆弱性のあるサイト－＞Ｗｅｂブラウザと中継され、実行される。悪意のある JavaScript のプログラムが、脆弱性のある Web サイトに関連したデータを自由にアクセスできる。

Web ブラウザ、攻撃サイト、脆弱性のあるサイト、JavaScriptのプログラム
図? JavaScripの送信元サイトの区別

これがクロスサイトスクリプティング攻撃(cross-site scripting atack, XSS atack)である。 CGI のプログラムをつくる時には、クロスサイトスクリプティング攻撃に気をつけなければならない。

何が問題だったのか

クライアントから送られてる文字列の中に <SCRIPT>のようなタグが含まれていた場合、それをそのままクライアントに送り返すと問題がある。 (さらに、 %hh にも気をつける必要がある。)

クライアントから送られてきた文字列は、必ず検査し、安全な状態にして (sanitize)から使う。「<>&"」のようなタグが含まれている場合には注意する。このような文字列を受け取った場合、不用意に送り返してはいけない。送り返す時には、html_escape() のような方法で必ずエスケープする。

むやみにエスケープすれば安全になるというものでもない。エスケープするのは、クライアントから送られてきたデータに由来するものだけで良い。サーバ側で生成したもの、たとえば、10+20 を計算して得られた整数 30 を"%d" で表示したようなものは、エスケープする必要はない。

html_escape()

html_escape() は cgi-printarg.c に含まれていた関数である。引数と結果は、ともに文字列で、次のような入出力が期待される。

入力: 「<>&」等を含む文字列。例:
```
abc<>&012
```
出力: 「<>&」が「&」を使ったものに置き換えられたもの。例:
```
abc&lt;&gt;&amp;012
```

以下はそのコードである。

 184:	char *
 185:	html_escape( char *str )
 186:	{
 187:	        int len ;
 188:	        char c, *tmp, *p, *res ;
 189:	
 190:	        len = strlen( str );
 191:	        tmp = malloc( len * 6 + 1 );
 192:	        if( tmp == 0 )
 193:	                return( 0 );
 194:	        p = tmp ;
 195:	        while( (c = *str++) )
 196:	        {
 197:	                switch( c )
 198:	                {
 199:	                case '&': memcpy(p,"&amp;", 5); p += 5 ; break;
 200:	                case '<': memcpy(p,"&lt;",  4); p += 4 ; break;
 201:	                case '>': memcpy(p,"&gt;",  4); p += 4 ; break;
 202:	                case '"': memcpy(p,"&quot;",6); p += 6 ; break;
 203:	                default:  *p = c ;              p++ ;    break;
 204:	                }
 205:	        }
 206:	        *p = 0 ;
 207:	        res = strdup( tmp );
 208:	        free( tmp );
 209:	        return( res );
 210:	}
 211:

html_escape() は、次の文字を置換えている。それ以外の文字はそのままコピーしている。

文字	変換後の文字列
----------------------
&	&amp;
<	&lt;
>	&gt;
"	&quot;

もし、<SCRIPT> のような文字列がクライアントから送られてきたとしても、html_escape() で置換ると、クライアントには「<SCRIPT>」と返すだけで、スクリプトは実行されない。

len * 6 は、最大で元の文字列の６倍の長さになることに備えている。メモリの断片化が起きやすいので、良いコードとは言えない。

表示例

CGI の GET メソッドを使う例

姓: 名:
C言語
Java言語
その他
電子メール:

CGI の POST メソッドを使う例

姓: 名:
C言語
Java言語
その他
電子メール:

スクリプト言語

コンピュータ言語の種類

プログラミング言語（プログラマ）。C, Java, Fortran,
スクリプト言語（強力な利用者、管理者）。sh, csh, sed, awk, Ruby, Python, Perl, JavaScript,Emacs Lisp
機械語、アセンブリ言語、バイトコード。
マークアップ言語（ドキュメントの記述）。HTML, XML, SGML, TeX, roff, Markdown

スクリプト言語の位置づけ

普通のプログラミング言語は、アプリケーション・プログラム本体を記述する時に使われる。これに対して、スクリプト言語は、アプリケーション本体ではなく、アプリケーションの細かな動作を変更したり、アプリケーション本体を変更することなく機能を追加したりするために使われる言語である。

普通のプログラミング言語は、アプリケーション・プログラマにより使われ、コンパイラで機械語に変換されるので、実行時には機械語しか残っていない。これに対して、スクリプト言語は、アプリケーションのユーザや、システム管理者などによって使われ、プログラムは、アプリケーションに組み込まれたインタプリタで解釈実行される。

スクリプト言語を使うと、単に変数を設定することに比べて、高度な機能拡張が機能になる。

シェル・スクリプトを使うと、OS本体(C言語で記述)の機能を拡張できる。

インタプリタのプロセスとスクリプト

スクリプトの実行とは

インタプリタの実行形式（機械語プログラム）からプロセスが生成される(fork(), execve())。
プロセスは、プログラム(スクリプト)をデータとして読み出す (open(), read(), close())。

インタプリタ/bin/cat

Unix 系の OS には、インタプリタによるスクリプトを簡単に実行する仕組みとして #!がある。 cat コマンドを使って「#!」の働きを調べる。

cat コマンドは、テキストファイルを画面に表示する時に使うコマンドである (補講)。引数で与えられた名前のファイルを open し、read し、それを標準出力に write する。 -n オプションをつけると、行番号を表示する。ファイル名の引数が与えられないと、標準入力から read したものを標準出力に write する。

$ cat /etc/shells 
# /etc/shells: valid login shells 
/bin/sh
/bin/bash
/usr/bin/bash
/bin/rbash
/usr/bin/rbash
/usr/bin/sh
/bin/dash
/usr/bin/dash
/usr/bin/tmux
/bin/ksh93
/usr/bin/ksh93
/bin/rksh93
/usr/bin/rksh93
/bin/zsh
/usr/bin/zsh
/bin/tcsh
/usr/bin/tcsh
/usr/bin/fish
$ cat -n /etc/shells 
     1	# /etc/shells: valid login shells
     2	/bin/sh
     3	/bin/bash
     4	/usr/bin/bash
     5	/bin/rbash
     6	/usr/bin/rbash
     7	/usr/bin/sh
     8	/bin/dash
     9	/usr/bin/dash
    10	/usr/bin/tmux
    11	/bin/ksh93
    12	/usr/bin/ksh93
    13	/bin/rksh93
    14	/usr/bin/rksh93
    15	/bin/zsh
    16	/usr/bin/zsh
    17	/bin/tcsh
    18	/usr/bin/tcsh
    19	/usr/bin/fish
$ cat  
abc
abc
012
012
^D
$ cat -n 
abc
     1	abc
012
     2	012
^D
$

cat コマンドは「ファイル(プログラム)を表示する」インタプリタである。まず、「catインタプリタ」用の2行のプログラムを作成する。

$ cat > run-cat 
#!/bin/cat
hello
^D
$ cat run-cat 
#!/bin/cat
hello
$ ls -l run-cat 
-rw-r--r-- 1 yas prof 17  7月  7 17:33 run-cat
$ ./run-cat 
bash: ./run-cat: 許可がありません
$ chmod +x run-cat 
$ ls -l run-cat 
-rwxr-xr-x 1 yas prof 17  7月  7 17:33 run-cat
$

「catインタプリタ」用のプログラムを実行する。

$ ./run-cat 
#!/bin/cat
hello
$

これは次のように実行したものと同じになる。

$ /bin/cat ./run-cat 
#!/bin/cat
hello
$

cat コマンドに -n オプション(行番号をつける)を与えてみる。

$ emacs run-cat 
$ cat run-cat 
#!/bin/cat -n
hello
$

実行してみる。

$ ./run-cat 
     1	#!/bin/cat -n
     2	hello
$

これは次のように実行したものと同じになる。

$ /bin/cat -n ./run-cat 
     1	   #!/bin/cat -n
     2	   hello
$

一般のインタプリタ

/dir/interpreter という名前のインタプリタを実行したい。
そのインタプリタのソース・プログラムを、filename という名前のファイルに保存する。
インタプリタにオプション(引数)を渡すこともできる。

filename の内容:

#!/dir/interpreter opt-1 opt-2 opt-3
＜以下、プログラム＞

このファイルに実行可能属性を付ける(chmod +x)と、ファイル名を入力して実行することができる。

$ chmod +x ./filename 
$ ./filename arg-a arg-b arg-c 
＜実行結果＞

これは、次のようにインタプリタを起動したものと同じ結果になる。

Linux, FreeBSD の場合:

$ /dir/interpreter 'opt-1 opt-2 opt-3' ./filename arg-a arg-b arg-c

macOS の場合:

$ /dir/interpreter  opt-1 opt-2 opt-3  ./filename arg-a arg-b arg-c

Solaris の場合:

$ /dir/interpreter opt-1 ./filename arg-a arg-b arg-c

./filename ファイルに書いた引数は、シェルから実行する時場合には、インタプリタのプロセスへの引数として渡される。

#!の解釈

「#!」行は、Unix のカーネルが解釈する ( 補講/シェルとカーネルの関係 ) 。シェルが、ファイルの先頭を読み、指定されたインタプリタを起動するのではない。「#!」行では、シェル変数、環境変数、エイリアスはつかえない。

スクリプト言語のプログラムでは「#」から始まる行がコメントであると都合がよい。

awkや sed のように、プログラムが含まれたファイルを指定する時に -f (program file) オプションが必要なものは、次のように、この行に -f を付ける。

#!/usr/bin/awk -f
{ print }

CGIプログラミングでのスクリプト言語の利用

CGI のプログラムを作成する場合、トップレベル(クライアントにデータを送る部分)は、Ｃ言語で記述するよりも、スクリプト言語で記述することが多い。

スクリプト言語は、インタプリタで動作するので、プログラミングが容易である。
バッファ・オーバーフローやメモリ・リークの問題が出にくい。
文字列の操作が簡単である。
CGIを支援するライブラリが充実している。

シェル

シェルはインタプリタであり、シェル・スクリプトはシェル・インタプリタのプログラムである。

オペレーティング・システムのカーネルは、現在の所、C言語で記述されていることが多い。シェルは、オペレーティング・システムの機能を拡張する。

シェル・スクリプトの先頭の #!/bin/sh や #!/bin/csh は、そのインタプリタを起動するという意味である。

情報科学類の学生は、シェルスクリプトくらい作れるようになりたい。

システムプログラム補講/第0回端末(2)
- シェル・スクリプト

スクリプト言語 sh で記述した CGI のプログラムの例

[cgi-hello-sh.txt]

$ cat cgi-hello-sh.cgi 
#!/bin/sh

cat <<EOF
Content-Type: text/html

<HTML><HEAD></HEAD><BODY>
hello.
</BODY></HTML>
EOF
$ ./cgi-hello-sh.cgi 
Content-Type: text/html

<HTML><HEAD></HEAD><BODY>
hello.
</BODY></HTML>
$

http://www.coins.tsukuba.ac.jp/~syspro/2024/2024-07-31/cgi-hello-sh.cgi

RubyによるCGI

cgi-printarg.c を Ruby で書直す。

[cgi-printarg-ruby.txt]

   1:	#!/usr/local3/coins/linux/bin/ruby
   2:	# -*- coding: utf-8 -*-
   3:	# cgi-printarg-ruby.cgi -- CGI プログラムに対する引数を表示するプログラム
   4:	# ~yas/syspro/www/cgi-printarg-ruby.cgi
   5:	
   6:	require "cgi"
   7:	
   8:	def main()
  10:	        @cgi = CGI.new()
  11:	        print_header()
  12:	        print_content()
  13:	        exit( 0 )
  14:	end
  15:	
  16:	def print_header()
  17:	        printf("Content-Type: text/html\n")
  18:	        printf("\n")
  19:	end
  20:	
  21:	def print_content()
  22:	        printf("<HTML><HEAD></HEAD><BODY><PRE>\n")
  23:	        printf("request_method: %s\n",e(@cgi.request_method))
  24:	        printf("script_name: %s\n",e(@cgi.script_name))
  25:	        printf("query_string: %s\n",e(@cgi.query_string))
  26:	        printf("content_length: %d\n",@cgi.content_length ? @cgi.content_length : 0 )
  27:	        qh = @cgi.keys
  28:	        i = 0
  29:	        qh.each { |name|
  30:	                val = @cgi[name]
  31:	                printf("qv[%d]: %s=%s \n",i,e(name),e(val) )
  32:	                i = i + 1
  33:	        }
  34:	        printf("</PRE></BODY></HTML>\n")
  35:	end
  36:	
  37:	def e( str )
  38:	        return( str == nil ? "(null)" : CGI::escapeHTML(str) )
  39:	end
  40:	
  41:	main()

Ruby では、require で、必要なライブラリを読み込む。 def から end までがメソッドの定義(関数の定義)である。

main() では、CGI.new() により、CGI クラスのインスタンスを生成している。その結果を @cgi という変数(インスタンス変数、mainの外でも使える)に保存している。

このプログラムでは、main() という名前のメソッドを定義しているが、 main() というメソッドから実行が開始させるわけではない。メソッド定義ではないものは、即座に実行される。このプログラムは最後に main() を呼び出す文がある。これを忘れると何も実行されない。

print_header()では、HTTP のヘッダのうち、Content-Type: 行だけを出力している。

print_content() では、本文を出力している。

関数(メソッド) e() では、CGI ライブラリ (CGIクラス)の CGI::escapeHTML() を呼び出して、クライアントから送られてきた「文字列」を安全なものにして表示する。たとえば、「<」は、「<」と変換している。これで、<SCRIPT> のような危険なスクリプトが送り込まれたとしても「<SCRIPT>」と表示と表示されるだけで、スクリプトは実行されない。

@cgi に保存されたCGI クラスのインスタンスの request_method() メソッドを呼び出すと、"GET" か "POST" が返される。環境変数は、ハッシュ表 ENV に対して ENV['REQUEST_METHOD'] のようにしてもアクセスできるが、環境変数を CGI クラスで変更してしまうこともあるようである。

@cgi.keys により、パラメタの一覧が配列の形で得られる。配列の各要素について(qh.each)、パラメタ名を得て表示している。この例では、どんなパラメタでも表示しているので、このようなループになっているが、通常の CGI プログラムでは、@cgi['パラメタ名'] のようにして、パラメタの値を文字列として取り出すだけでよい。

	op = @cgi['op']
	val_s = @cgi['val']

@cgi['パラメタ名']は、もし 'パラメタ名'のパラメタが設定されていなければ、空文字列 "" を返す。

表示例：

CGI の GET メソッドを使う例

姓: 名:
C言語
Java言語
その他
電子メール:

CGI の POST メソッドを使う例

姓: 名:
C言語
Java言語
その他
電子メール:

実行例：

request_method: GET
script_name: /~syspro/2024/2024-07-31/cgi-printarg-ruby.cgi
query_string: lastname=name1&firstname=name2&lang=C&email=who%40dom
content_length: 0
qv[0]: lastname=name1 
qv[1]: firstname=name2 
qv[2]: lang=C 
qv[3]: email=who@dom

request_method: POST
script_name: /~syspro/2024/2024-07-31/cgi-printarg-ruby.cgi
query_string: 
content_length: 53
qv[0]: lastname=name1 
qv[1]: firstname=name2 
qv[2]: lang=C 
qv[3]: email=who@dom

シェルからの実行

Ruby 言語の CGI クラスを使ったプログラムは、環境変数を設定したデバッグもできる。

$ export REQUEST_METHOD=GET 
$ export QUERY_STRING='lastname=name1&firstname=name2&lang=C&email=who%40dom' 
$ ./cgi-printarg-ruby.cgi 
Content-Type: text/html

<HTML><HEAD></HEAD><BODY><PRE>
request_method: GET
script_name: (null)
query_string: lastname=name1&amp;firstname=name2&amp;lang=C&amp;email=who%40dom
content_length: 0
qv[0]: lastname=name1
qv[1]: firstname=name2
qv[2]: lang=C
qv[3]: email=who@dom
</PRE></BODY></HTML>
$

その他に標準入力からパラメタを与えてでデバッグすることもできる。

$ unset REQUEST_METHOD 
$ unset QUERY_STRING 
$ echo 'lastname=name1&firstname=name2&lang=C&email=who%40dom' | ./cgi-printarg-ruby.cgi 
Content-Type: text/html

<HTML><HEAD></HEAD><BODY><PRE>
request_method: (null)
script_name: (null)
query_string: (null)
content_length: 0
qv[0]: lastname=name1
qv[1]: firstname=name2
qv[2]: lang=C
qv[3]: email=who@dom
</PRE></BODY></HTML>
$

外部のプログラムの実行

CGI では、意図していないプログラムを実行しないようにする。

外部のプログラムの実行(C言語)

外部のプログラムを実行する時には、execve() のようなシステムコールを使い、かつ、限られたプログラムしか実行しないようにすると安全性が高くなる。クライアントから送られてきた文字列をsystem() や popen() に渡してプログラムを実行する時には、必ず検査する。特にシェルが解釈する特殊な文字「| & ; && || `」などが含まれていた場合、意図しないプログラムが実行されることがある。

File *f;
char cmd[BUFSIZE];

year_s  = getparam(qc,qv,"year");
month_s = getparam(qc,qv,"month");
snprintf(cmd,BUFSIZE,"/usr/bin/cal %s %s", month_s, year_s );
f = poepn(cmd,"r");
fgets(line,sizeof(line),f);

もし、year_s に ";" や "|" が含まれていたら、侵入される。

f = poepn("/usr/bin/cal 8 2024; cat /etc/passwd","r");

このような問題を防ぐには、次のようにすると良い。

fork() や execve() 等のシステムコールを用いて、外部のプログラムを実行する。 system() や popen() のようにシェルを実行するものを使わない。
execve() の第１引数に渡すプログラムを絶対パス名の定数にする。 CGI のパラメタで受け取ったものを利用しない。
バッファ・オーバーフローにも気をつける。

外部のプログラムの実行(Ruby言語)

C 言語とは異なり、Ruby 言語で CGI 等のプログラムを書けば、バッファ・オーバーフローやメモリ・リークの問題をプログラマは忘れることができる。

Ruby の open() には、危険性がある。 C 言語のライブラリ関数 popen() と同じ動きをすることがある。

open("|cmd")

Ruby の注意すべき関数、式、クラス

open(), IO.popen()
system(), exec(), spawn()
``(バック・クォート), %x( ) 記法, %X( ) 記法
Shell, Open3, PTY クラス
その他

Ruby でも fork() は使える。

Ruby の exec(), spawn() は、コマンドの引数にシェルのメタキャラクタが含まれていれば、シェルを経由して実行されることがある。次の形式では、execve() で実行される(argsは配列)。

exec("/full/path/name", *args)

インタプリタなので、eval() にも注意する。 eval() は、Ruby の任意の式を評価できる。 system() 等の実行だけでなく、Ruby の変数もアクセスできる。

eval("system(\"ls\")")
x = 10
eval("x=100")
printf("%d\n",x)

外部のプログラムの実行(Python言語)

Python の注意すべき関数、式、クラス

os.system(), os.popen(), os.popen2(), os.popen3(), os.os.spawnve() 等
subprocess モジュールの run(), Popen(), check_output(), call() 等
pty モジュール
その他

subprocess モジュールの run 等はデフォルトではシェルを実行しない(shell=False)。 Python subprocess モジュール/セキュリティで考慮すべき点参照。

インタプリタなので、eval() や exec() にも注意する。引数の文字列を評価・実行できる。

Webプログラミング、その他の話題

Python言語によるCGIプログラミング

１年生の「プログラミング入門」で利用した Python 言語でCGI のプログラムを書く事ができる。

SSI (Server Side Include)

Javaアプレット

授業評価アンケート

情報科学類では、教育の改善のために、学生の皆さんに授業評価アンケートを実施していますので、ご協力をお願いします。

アンケートはTWINSから回答してください。

複数の教員が講義を担当している場合は、授業全体について回答して下さい。各教員への意見・質問は最後の自由記載欄にお願いします。

なお、皆さんの評価が成績に影響することは一切ありません。また、評価結果を教育の改善以外の目的に利用することはありませんし、評価結果を公開する場合には個人を特定できるような情報は含めません。

締切は、8月29日です。レポートを提出したら忘れないうちにすぐに提出すると良いでしょう。

練習問題と課題

練習問題(1001) クロスサイトスクリプティング攻撃に対する脆弱性の除去

今まで「自分で」作成した CGI のプログラムの中で、クロスサイトスクリプティング攻撃に対する脆弱性あるものを探しなさい。そして、それを修正しなさい。

レポートには、最初に脆弱生がある CGI プログラムを作成した年月日、今回修正した場所、および、その修正箇所の説明をつけなさい。

ただし、脆弱性があるプログラムとしては、この科目で作成したプログラムは使えないものとする。

練習問題(1002) 外部のプログラムの実行を許してしまうような脆弱性の除去

今まで「自分で」作成した CGI のプログラムの中で、外部のプログラムの実行を許してしまうような脆弱性があるものを探しなさい。そして、それを修正しなさい。

レポートには、最初に脆弱生がある CGI プログラムを作成した年月日、今回修正した場所、および、その修正箇所の説明をつけなさい。

ただし、脆弱性があるプログラムとしては、この科目で作成したプログラムは使えないものとする。

練習問題(1003) cgi-arg1arg2-ruby.cgi

次の CGI プログラムをシェルから実行しなさい。

~yas/syspro/www/cgi-arg1arg2-ruby.cgi [cgi-arg1arg2-ruby.txt]

$ cp ~yas/syspro/www/cgi-arg1arg2-ruby.cgi . 
$ export REQUEST_METHOD=GET 
$ export QUERY_STRING='arg1=10&arg2=20' 
$ ./cgi-arg1arg2-ruby.cgi 
Content-Type: text/html

<HTML><HEAD></HEAD><BODY><PRE>
arg1: [10]
arg2: [20]
</PRE></BODY></HTML>
$

自宅の PC で実行する時には、一般のインタプリタで説明したように、1行目のパス名を変更しなさい。 ruby コマンドのパス名は、次のコマンドで表示される。

$ which ruby

「./cgi-arg1arg2-ruby.cgi」で実行する代りに、 ruby コマンドにスクリプトのファイル名を与えて実行する方法もある。

$ ruby cgi-arg1arg2-ruby.cgi

次のようにパラメタを設定して実行してみなさい。

arg1 と arg2 の両方を設定
arg1 のみを設定
arg2 のみを設定
arg1 も arg2 も設定しない

余裕があれば、REQUEST_METHOD=POST についても、同様に実行してみなさい。

余裕があれば、フォームを定義し、何かデータを送ってみなさい。 coins で CGI を実行する場合、CGI の実行形式を Web サーバ (http://www.coins.tsukuba.ac.jp) に ssh でログインした上で作成すること。

https://www.coins.tsukuba.ac.jp/~syspro/2024/2024-07-31/cgi-arg1arg2-ruby.cgi

たとえば、次のような記述を含む HTML ファイルを作成し、 ~/public_html/ 以下に置く。

<FORM ACTION="https://www.coins.tsukuba.ac.jp/~syspro/2024/2024-07-31/cgi-arg1arg2-ruby.cgi" method="get">
    arg1: <INPUT type="text" name="arg1">
    arg2: <INPUT type="text" name="arg2">
    <INPUT type="submit">
    <INPUT type="reset">
</FORM>

arg1: arg2:

また、余裕があれば、method="post" についても同様に行ってみなさい。

練習問題(1004) ファイルにデータを保持するカウンタ(Ruby)

次のプログラムは、ファイルに 32 ビットの整数値を保持するようなカウンタのプログラムである。ソースコードをコピーし、実行し、動作を確認しなさい。

~yas/syspro/file/file-counter-ruby.rb [file-counter-ruby.txt]

使い方は、 C言語で記述されたプログラムと同じである。

練習問題(1005) CGIによるカウンタ(Ruby)

この課題を解く前に練習問題(1003) 、および、練習問題(1004) を解きなさい。それら結果をレポートに含めなくなくて良い。

CGIによるカウンタを Ruby 言語で書き直しなさい。ただし、次のことを実装しなくてもよい。

パラメタとしては、数字からなる文字列が与えられているものとする。それ以外のものが与えられてた場合、エラー処理をしなくてもよい。正しくない文字列が与えられた時には、何も表示せず終了して良い。 (例外が発生した時にはそれを捕捉することなく終了して良い。)

ヒント: cgi-opval.cのC言語の関数getparam() の代わりに Ruby 言語の @cgi["val"] が使える。 @cgi["val"] は、もし "val" のパラメタが設定されていなければ、空文字列 "" を返す。

ヒント：C 言語の strtol() のように、文字列から整数値を得るには、Ruby では、to_i() を使って次のように行う方法がある。

     val_s = "100"
     val = val_s.to_i()

to_i() は、文字列として "100xx" のように、数字以外が現れると、それより前の数字だけから計算した値を返す。たとえば、"100xx".to_i() は、整数 100 を返す。文字列に数字が一切表れない時には、0 を返す。本日の課題では、to_i() の動作に従って回答しても良い。

この課題では、 CGIによるカウンタと同様に、作成したプログラムをシェルから実行して動作を確認しなさい。この時、単にカウンタの値を表示するだけでなく、CGI として必須の行(Content-Type: 行や空行) を含んでいること。結果を HTML で返す場合、ブラウザで表示できるような HTML であること。

練習問題(1006) CGIによる例外処理(Ruby)

CGIによるカウンタ(Ruby) で、クライアントから整数以外の値が送られて来たとしても、対応しなさい。この時、Ruby が持つ例外処理の機能(begin ... rescue ... ensure ... end) を利用しなさい。

練習問題(1007) cgi-arg1arg2-python.cgi

練習問題(1003) と同じことを、Python 言語を用いて次の CGI プログラムに対して行いなさい。

~yas/syspro/www/cgi-arg1arg2-python.cgi [cgi-arg1arg2-python.txt] 2024/07/31 13:00修正

Python言語によるCGIプログラミング参照。

2024/07/31 13:00: このスクリプトを端末で実行すると、次のような警告が出ます。

./cgi-printarg-python.cgi:6: DeprecationWarning: 'cgi' is deprecated and slated for removal in Python 3.13

次のようなコードを追加すると、警告を抑止できます。

import warnings
warnings.filterwarnings("ignore", category=DeprecationWarning)

上のコードは修正済みです。

練習問題(1008) ファイルにデータを保持するカウンタ(Python)

~yas/syspro/file/file-counter-python.py [file-counter-python.txt]

使い方は、 C言語で記述されたプログラムと同じである。

練習問題(1009) CGIによるカウンタ(Python)

この課題を解く前に練習問題(1007) 、および、練習問題(1008) を解きなさい。それら結果をレポートに含めなくなくて良い。

CGIによるカウンタを Python 言語で書き直しなさい。練習問題(1005) と同じことを、Python 言語を用いて行いなさい。

Python言語によるCGIプログラミング参照。

練習問題(1010) CGIによるカレンダの表示(C)

fork() と execve() を使って、/usr/bin/cal を実行し、Web ブラウザに今月のカレンダを実行する CGI プログラムを作りなさい。cal コマンドは、引数を付けずに実行すると、今月のカレンダーを表示する。

$ cal 
      July 2024
Su Mo Tu We Th Fr Sa
    1  2  3  4  5  6
 7  8  9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31

$

CGI プログラムを実行した月のカレンダーを表示しなさい。固定した表示するだけなら、CGI の意味はない。余計な表示は省略すること。

ヘッダや HTML の一部を表示する。fflush() で、それらをWeb サーバに送る。
fork(), execve(), wait() 等を用いて、cal コマンドを実行する。標準出力をそのままにしておけば cal コマンドの結果がそのまま CGI の結果として返される。その他に、pipe() を用いて結果を受け取る方法も考えられる。この課題では、system() や popen() を用いてはならない。
wait() 等で子プロセスの終了を確認したら、残りの HTML を出力する。

作成したプログラムを、シェルから実行して動作を確認する。

$ ./a.out 
Content-Type: text/html

<HTML><HEAD></HEAD><BODY><PRE>
      July 2024
Su Mo Tu We Th Fr Sa
    1  2  3  4  5  6
 7  8  9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31

</PRE></BODY></HTML>
$

そのプログラムを CGI として動作させなさい。

~/public_html/ の下にコピーする。

$ mkdir ~/public_html/syspro-cgi-examples 
$ cp a.out ~/public_html/syspro-cgi-examples/cal-one.cgi

Web ブラウザから次のようなURLを開き、CGI を実行する。

$ open https://www.coins.tsukuba.ac.jp/~ログイン名/syspro-cgi-examples/calc-one.cgi

CGI のプログラムを実行するようなフォームを含むHTML ファイルを作成する。

<FORM ACTION="https://www.coins.tsukuba.ac.jp/~ログイン名/syspro-cgi-examples/calc-one.cgi" method="get">
<INPUT type="submit">
</FORM>

Web ブラウザからフォームを含む HTML ファイルを開き、CGI を実行する。

練習問題(1011) CGIによるカレンダの表示(引数付き,C)

練習問題(1010) で、今月のカレンダーではなく、任意の年・月のカレンダーを表示しなさい。cal コマンドは、次のように引数を与えて実行すると、任意の年月のカレンダーを表示する機能がある。

$ cal 8 2024 
     August 2024
Su Mo Tu We Th Fr Sa
             1  2  3
 4  5  6  7  8  9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

$

この機能を利用して、Web ブラウザから送られた年月のカレンダーを表示する CGI プログラムを作成しなさい。

"year=2024&month=8"のように送るようなフォームを想定してプログラムを作成する。
cgi-opval.cgi で、余計な表示をなくし、さらに、パラメタの名前を変更する。
string_split() で分解した後、"year=" や "month=" があるパラメタを検索する。
```
     char *year_s,*month_s;
     year_s = getparam(qc,qv,"year");
     month_s = getparam(qc,qv,"month");
```
getparam() は、 cgi-opval.cgiのソースコードに含まれている。
引数が足りかったり、不正な場合にはエラーメッセージを表示して終了する。
得られた文字列を、strtol() 等で整数に変換する。引数の範囲をチェックする。たとえば、13月や-1年, 10000年等が与えられた場合には、エラーメッセージを表示して終了する。
snprintf() 等で、cal コマンドにあたえる引数を文字列で作る。一度、整数としてチェックした結果から snprintf() の %d 等で cal コマンドに与える引数を作成すると安全である。
ヘッダや HTML の一部を表示する。fflush() で、それらをWeb サーバに送る。
fork(), execve(), wait() 等を用いて、cal コマンドを実行する。この時、慎重に外部のプログラムを実行しなさい。 /usr/bin/calだけを実行しなさい。それ以外のプログラムを実行してはならない。標準出力をそのままにしておけば cal コマンドの結果がそのまま CGI の結果として返される。その他に、pipe() を用いて結果を受け取る方法も考えられる。この課題では、system() や popen() を用いてはならない。
wait() 等で子プロセスの終了を確認したら、残りの HTML を出力する。
作成したプログラムを、シェルから実行して動作を確認する。
```
$ export REQUEST_METHOD=GET 
$ export QUERY_STRING='year=2024&month=8' 
$ ./a.out 
Content-Type: text/html

<HTML><HEAD></HEAD><BODY><PRE>
     August 2024
Su Mo Tu We Th Fr Sa
             1  2  3
 4  5  6  7  8  9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

</PRE></BODY></HTML>
$ 
```
なお、一度設定した環境変数の値は、シェルを終了するまで残っている。 a.out を実行するたびに設定する必要はない。
レポートには、次の結果を含めなさい。
- 期待されたデータを与えた時、正しい結果を出力する。
- 引数が足りかったり、不正な場合にはエラー・メッセージを表示する。

そのプログラムを CGI として動作させなさい。

~/public_html/ の下にコピーする。

$ mkdir ~/public_html/syspro-cgi-examples 
$ cp a.out ~/public_html/syspro-cgi-examples/cal.cgi

Web ブラウザから次のようなURLを開き、CGI を実行する。
```
https://www.coins.tsukuba.ac.jp/~ログイン名/syspro-cgi-examples/cal.cgi?year=2024&month=8
```
"year=2024&month=8"のように送るようなフォームを含むHTML ファイルを作成する。
Web ブラウザからフォームを含む HTML ファイルを開き、CGI を実行する。

この課題では、フォームを含む HTML ファイルを作成し、 CGIとして実行し、その結果をレポート含めなさい。その結果としては、アクセスログを含めなさい。

注意: CGI のパラメタは、最初は、文字列で受け取り、最終的に cal コマンドには文字列で渡す。この時に、年月日としては不適切なものがクライアントから渡される可能性がある。不適切なものが渡された場合には、エラー・メッセージを表示しなさい。また、不正なパラメタで cal コマンドは実行しないようにしなさい。

練習問題(1012) CGIによるカレンダの表示(Ruby)

練習問題(1010) と同じ動作をするプログラムを Ruby で書きなさい。この課題では、慎重に外部のプログラムを実行しなさい。 /usr/bin/calだけを実行しなさい。それ以外のプログラムを実行してはならない。

練習問題(1013) CGIによるカレンダの表示(引数付き,Ruby)

この課題を解く前に練習問題(1003) を解きなさい。レポートには、その結果を含めなくて良い。

練習問題(1011) と同じ動作をするプログラムを Ruby で書きなさい。

クライアントから不正なパラメタから与えられた場合には、エラー・メッセージをクライアントに返しなさい。レポートには、不正なパラメタが与えられた場合の実行結果を含めなさい。

この課題では、慎重に外部のプログラムを実行しなさい。シェルを経由しないで /usr/bin/cal を実行しなさい。それ以外のプログラムを実行してはならない。

練習問題(1014) CGIによるカレンダの表示(引数付き,Python)

この課題を解く前に練習問題 cgi-arg1arg2-python.cgi を解きなさい。レポートには、その結果を含めなくて良い。

Python言語によるCGIプログラミング参照。

練習問題(1011) と同じ動作をするプログラムを Python で書きなさい。

練習問題(1015) CGIによる投票

練習問題 CGIによるカウンタ(Ruby) や練習問題 CGIによるカウンタ(Python) では単純なカウンタを実装した。これに対して、次のようなCGIによる投票プログラムを作成しなさい。

候補者のリストは、プログラムに埋め込むのではなく、別途、CGIではないプログラムで登録する。 (CGIで登録を許すと、無限に候補者を登録される攻撃に対して簡単に脆弱になるのでやらないこと。)
(「投票」ボタンではない方法で実行されると)各候補者の名前、現在の投票数を、ラジオボタンとともに表示する。この時、投票数を増やしてはならない。
ラジオボタンを選択した後、「投票」ボタンが押されると、その候補者の投票数を1増やす。増やした後の投票数を表示しても良いし、しなくても良い。増やす前の投票数を表示してはならない。
同じ人による複数回の投票を許す。禁止するように工夫しても良い。

このプログラムでは、投票数をファイルに保存するか、永続的なハッシュ表に保存しなさい。永続的なハッシュ表としては、GDBM (GNU dbm) を使っても良い。その他のものでも良い。 GDBM のプログラムの例は、次のファイルに含まれており、Coins の Linux では動く状態になっている。詳しくは、man gdbm や、各言語の GDBM ライブラリのマニュアルを見なさい。

~yas/syspro/file/gdbm-counter.c
~yas/syspro/file/gdbm-counter-ruby.rb
~yas/syspro/file/gdbm-counter-python.py

この課題では、プログラミング言語としては、Ruby、または、Pythonを用いなさい。 3名以上の候補者を登録し、端末から実行しなさい。この時、CGIとして動作するように、パラメタは、環境変数や標準入力から受け取ること。作成したプログラムを ~/public_html の下に CGI プログラムとして設置しなくても良いし、設置しても良い。

ファイルとして保存する場合、CGIで不正なファイル名のファイルが作成されないようにしなさい。永続的なハッシュ表を用いる場合、CGIで不正なキーが作成されないようにしなさい。

練習問題(1016) 配列の足算

CGI では、同じ変数名で複数のパラメタを渡すことができる。たとえば、「arg=10&arg=20&arg=30」のようにパラメタを送信することができる。この機能を用いて、配列の加算を行いなさい。

ヒント: Ruby では CGI オブジェクトの params() メソッドを使い、配列の形で得る。 Python では、getfirst() ではなく getlist() を使う。

練習問題(1017) ファイルの受信

クライアントからファイルを受信して、その内容を処理(例えば加算、保存)しなさい。ファイルを受信するには、HTML の <form> では、 <input type="file" name="file1"> のようにする。

ヒント: Ruby の CGI オブジェクトでは、ファイルの場合、StringIO クラスのオブジェクトになる。IOクラスのオブジェクトのように、read(), each(), gets(), readline() といったメソッドが使える。

Last updated: 2024/07/31 13:01:11

Yasushi Shinjo / <yas@cs.tsukuba.ac.jp>