[ Alex WebKnacKer ] Хакинг и антихакинг - защита и нападение. Книги удк 004. 056. 5Alex WebKnacKer

320 Быстро легко. Хакинг и
multipart/form-data;
Content-Disposition: form-data;
Ivanov
Content-Disposition:
text/plain
файла
Здесь использован обязательный параметр boundary, задающий строку,
разделяющую части передаваемых данных. Если пользователь выбрал второй файл с изображением то клиентский браузер отправляет следующие части набора данных формы.
Content-Type: multipart/form-data;
Content-Disposition: form-data;
Ivanov
Content-Disposition: form-data;
multipart/mixed;
Content-Disposition: attachment;
Content-Type: text/plain
файла
Content-Disposition: attachment;
binary
файла
Итак, мы уже знаем, как следует подготавливать набор данных формы,
предназначенный для передачи программе-сценарию для их обработки.
Рассмотрим, как это происходит.
набора данных формы
Согласно спецификации языка HTML 4 при отправке набора данных формы для их обработки клиентский браузер устанавливает связь с сервером HTTP и посылает ему запросное сообщение (выполняет транзакцию HTTP). Структура запросных и ответных сообщений HTTP описана в Приложении С, однако напомним, что каждое сообщение HTTP состоит из начальной строки,
заголовков сообщения и тела сообщения, и запросное сообщение HTTP имеет ту

Приложение 321
же самую структуру, что и ответное, за исключением начальной строки. Эта строка в случае запросных сообщений называется строкой запроса, и она имеет такой вид.
Строка запроса=Метод SP
SP
Здесь SP - это символ пробела ASCII
32), Метод - это название метода
HTTP, который должен быть применен к ресурсу, указанному запрашиваемым адресом URL, a
- это код возврата каретки (CR) и перевода строки
Набор методов запроса HTTP перечислен в Приложении С, для нас же важны два следующих метода, поддерживаемые в язык HTML 4.
• GET - Этот метод предназначен для запроса информации, предоставляемой ресурсом, указанным адресом URL запроса. Эта информация должна предоставляться в теле ответного сообщения.
• POST — Этот метод применяется для запроса, который указывает серверу, что пересылаемое в запросе тело сообщения должно быть передано ресурсу,
указанному адресом URL в строке запроса.
В языке HTML 4 метод HTTP, используемый для отправки формы в программу обработки, определяется атрибутом METHOD элемента FORM. Передача данных при этом происходит следующим образом.
• Если для атрибута METHOD установлено значение а для атрибута
ACTION указан адрес HTTP, то клиентский браузер берет значение атрибута
ACTION, добавляет к нему символ затем добавляет набор данных формы, закодированный с использованием типа содержимого
Затем браузер выполняет транзакцию
GET протокола HTTP, отправляя этот адрес URL на сервер для обработки.
При использовании метода GET набор данных формы ограничивается кодами ASCII.
• Если для атрибута METOD установлено значение "post", а атрибут ACTION
определен как адрес HTTP, то клиентский браузер выполняет транзакцию
POST протокола HTTP с использованием значения атрибута ACTION и сообщения, созданного в соответствии с типом содержимого, определенным атрибутом ENCTYPE (см. раздел «Кодирование набора данных формы» чуть выше).
Для других значений атрибута ACTION или METHOD способ обработки набора данных формы спецификацией HTML 4 не определен. После выполнения транзакций GET и POST протокола HTTP клиентские браузеры должны предс- тавлять пользователю полученные отклики на соответствующие транзакции.
Теперь посмотрим, что происходит с переданными данными на самом сервере.
11

322 Быстро легко. Хакинг и Антихакинг
набора данных формы
Как мы уже говорили, переданный на сервер HTTP набор данных формы далее обрабатывается согласно протоколу CGI. Этот протокол является стандартом,
определяющим интерфейс между серверным приложением и информационным сервером например, сервером HTTP. Протокол CGI определяет порядок передачи данных, полученных сервером Web от клиента, программе- сценарию их обработки, и наоборот, передачу результатов работы программ- сценариев соответствующим клиентам. Для обеспечения такого взаимодейст- вия функционирует подобно серверу-посреднику между клиентом и сервером Web с запрашиваемыми ресурсами. Примерами таких GGI- программ являются приложения баз данных, электронные таблицы, деловые приложения др., которые по поступающим запросам выдают на экран клиентского браузера динамическую информацию.
CGI-программа шлюза запускается сервером Web в ответ на запрос клиента в реальном масштабе времени. Сервер, действуя по протоколу CGI, обеспечивает передачу запроса пользователя шлюзу. Шлюз, в свою очередь, используя средства прикладной системы, возвращает клиенту результат обработки запроса.
Программа, реализующая шлюз, может быть закодирована на языках C/C++,
PHP, Fortran, Perl, TCL, Unix Schell, Visual Basic, Apple Script и др. Исполняемый модуль программы должен храниться в специальном каталоге Web-сервера,
который определяется используемой платформой (серверной операционной системой). Однако способ передачи данных в программу и результатов их обработки из программы не зависит от платформы и языка кодирования,
поскольку протокол CGI имеет общий характер. Опишем сначала процесс передачи набора данных формы в программу-сценарий.
Передача данных шлюзам
Итак, получив запрос на обработку данных сценарием, сервер запускает и передает ей данные. Для передачи данных полученного запроса HTTP от сервера к шлюзу сервер использует командную строку,
переменные окружения и стандартный входной поток программы, автома- тически открываемый операционной системой (Windows, UNIX и др.) при запуске любой программы на компьютере.
Командная строка - это строка, вводимая на приглашение операционной системы для запуска какой либо программы. Каждый, кто работал в среде MS DOS
или использовал командную строку Windows, уже знаком с этим понятием.
Командная строка состоит из имени исполняемого модуля, сопровождаемого набором входных параметров, задающих режим работы программы и ее входные данные. Например, ввод командной строки
arj a archiv file.txt

Приложение В 323
означает запуск программы архиватора arj.exe в режиме пополнения (входной параметр а) архива с именем archiv файлом с именем file.txt.
Переменные окружения - это набор системных переменных, доступных прог- рамме, который содержит набор параметров вычислительного окружения прог- раммы. Эти переменные окружения устанавливаются в тот момент, когда сервер запускает программу шлюза, и существуют до момента завершения программы.
Хотя в сети Web используется множество серверов с различными вычислитель- ными платформами и операционными системами, все они предоставляют стан- дартный набор переменных окружения. Для получения переменных окружения в программе С следует использовать библиотечную функцию
Входной поток - это последовательность байтов данных, хранимых в памяти компьютера и доступных программе. Для доступа к этим данным в программах используются специальные библиотечные функции, входящие в набор всех рас- пространенных средств разработки программного обеспечения. В случае ис- пользования языка С этот поток называется STDIN; для считывания данных из потока STDIN используется функция fgetc
Информация шлюзам передается в следующей форме.
Здесь Имя - это имя передаваемого программе параметра данных (в нашем случае это имя элемента управления формы), а Значение - это фактическое значение параметра (т.е. значение элемента управления). Способ, по которому эта информация передается шлюзу, зависит от метода запроса, указанного атрибутом METHOD формы. Для определения метода запроса шлюз должен использовать переменную окружения
(см. ниже).
В случае метода GET эта строка передается как часть адреса запроса, и бу- дет передана шлюзу в переменной окружения
В случае метода POST эта информация будет послана в стандартный поток ввода шлюза. В последнем случае объем информации, содержащийся в стандартном потоке ввода, определяется переменной окружения задающей число байтов в потоке. Тип передаваемых шлюзу данных определяется перемен- ной окружения
Сервер не обязан посылать символ конца потока после успешной пересылки шлюзу значения переменной
Приведем пример обработки формы с помощью описанной выше процедуры.
Возьмем в качестве примера следующую форму запроса.

324 _ Быстро легко. Хакинг и
на группу
Подписаться на прием

После подтверждения формы и отправки ее данных на сервер для обработки методом POST (поскольку в элементе FORM атрибут METHOD равен "post") в программу-сценарий во входном потоке поступит 42 байта, закодированных таким образом:
В этом случае сервер установит значение переменной равным 42, а значение переменной CONTENT_TYPE установит равным
Первым символом в стандартном потоке ввода для шлюза будет символ за которым будет следовать остаток закодированной строки.
В командной строке и переменных окружения шлюзу передается множество другой информации. В следующих разделах содержится ее обсуждение
(заметьте, что эта информация применима не только для обработки данных формы).
Аргументы
В командной строке шлюз получает от сервера следующие данные.
• Часть адреса помещенную клиентским браузером сразу после имени шлюза. Эта часть передается шлюзу в качестве первого параметра (если в адресе URL указано только имя шлюза, первый параметр будет пуст).
Остальная часть данных будет содержать следующие сведения.
• Если сценарий реализует машину поиска, в оставшуюся часть командной строки включается список ключевых слов, используемых для поиска.