sslug-teknik team mailing list archive

[Andreas Overgaard <anov@xxxxxx>]

>Prøv dette på et helt almindeligt webhotel:
>
  <script klippet væk>

  Et helt almindeligt webhotelt der køre out of the boks redhat linux eller
noget 
  ligende måske for du har da hardcodet hans home dir ind hvor fik du det
fra?
  hvor fik du brugernavn fra? 
  OK man kan selvfølgelig teste sig frem.

>Man har jo adgang til alle filerne hos de andre kunder på webhotellet!!!

  Er det et problem? det er vel menigen med at have en web server at folk
har adgang til den.

>Årsagen er selvfølgelig, at der scriptes igennem Apache, som ikke kan
>kende forskel på brugerne.....

  øhh kan den ikke det forstår jeg ikke helt for det er altså UNIX
retighederne der tæller

> -- Og Apache skal selvfølgelig have
>adgang til alle PHP-filer og CGI-scripts.... -- Det er jo ikke noget
>specielt PHP-relateret problem, da man jo også kan lave dette gennem
>Perl- eller bash-scripts...

  Den skal vel bare have lov til at exec. dem

>HVORDAN SIKRER MAN SIN SERVER, SÅ DETTE IKKE KAN LADE SIG GØRE ?????

  chmod 700 på de filer folk ikke må bruge det kan selv CuteFTP finde ud af.
  Der er vel ikke nogen der tvinger dig til at chmod  777 alle dine filer?

>Jeg vil vædde min gamle ZX81 på, at 99% af alle webhoteller (med Apache)
>kan "hackes" på denne måde! 

  Det er fandme en aftale dit script er jo totalt skod hvis man ikke kender
katalog strukturen.

>(Og det kan vi jo ikke have hos os selv,
>vel?!)

  Så i vil ikke have at folk kan læse jeres hjemme side, det er skam helt
fint med mig men nok lidt bad for forretningen : )

-- Regards Andreas