sslug-teknik team mailing list archive

["Morten Egelund Rasmussen" <sslug-teknik@xxxxxxxxxxxxxx>]

Andreas skrev:
> Et helt almindeligt webhotel der køre out of the boks redhat
> linux eller noget ligende måske for du har da hardcodet hans 
> home dir ind hvor fik du det fra?
> hvor fik du brugernavn fra?
> OK man kan selvfølgelig teste sig frem.

Næh det behøver man da ikke. Man starter da bare fra roden i
biblioteksstrukturen. Hvis man er rigtig smart, laver man et script, der
kører rekursivt ned igennem filstrukturen fra "/" og laver fpassthru()
på alle filer, der ender med f.eks. ".php", ".cgi", ".inc", eller ".pl".
Så skulle man nok kunne få nogle interessante oplysninger ud.


> >Man har jo adgang til alle filerne hos de andre kunder på
webhotellet!!!
>
> Er det et problem? det er vel menigen med at have en web server at
folk
> har adgang til den.

Jeg omformulerer lige: "Man har jo adgang til at SE KILDEKODEN hos de
andre kunder på webhotellet!!!"


> >Årsagen er selvfølgelig, at der scriptes igennem Apache, som ikke kan
> >kende forskel på brugerne.....
>
> øhh kan den ikke det forstår jeg ikke helt for det er altså UNIX
> retighederne der tæller
> 
> > -- Og Apache skal selvfølgelig have
> >adgang til alle PHP-filer og CGI-scripts.... -- Det er jo ikke noget
> >specielt PHP-relateret problem, da man jo også kan lave dette gennem
> >Perl- eller bash-scripts...
> 
>   Den skal vel bare have lov til at exec. dem

Hvis jeg var dig, ville jeg nok sætte mig ned for at læse lidt på
hvordan brugerrettigheder virker (og hvordan Apache virker). (No
offense, men der er et reelt problem med PHP her.)

 
> >Jeg vil vædde min gamle ZX81 på, at 99% af alle webhoteller (med
Apache)
> >kan "hackes" på denne måde!
> 
> Det er fandme en aftale. dit script er jo totalt skod hvis man ikke
> kender katalog strukturen.

Øhm.... Jeg tror nok at filmen knækkede her... :-/


> >(Og det kan vi jo ikke have hos os selv, vel?!)
>
> Så i vil ikke have at folk kan læse jeres hjemme side, det er skam
helt
> fint med mig men nok lidt bad for forretningen : )

Prøv selv at gøre det med PHP på et tilfældigt mailhotel (evt. jeres
egne servere). Så kan vi måske skrives ved...

Sidst skal det lige nævnes, at jeg nu har fået pillet en del ved
opsætningen på den server jeg roder med. Umiddelbart er det let nok at
begrænse adgangen for CGI-scripts. (Gøres v.h.a. suEXEC.) M.h.t. PHP er
det noget vanskeligere, men jeg er ved at nærme mig en løsning hvor
kildekoden til suEXEC er patchet (for at undgå shebang-linier).
Slutresultatet bliver at PHP også kommer til at køre som CGI (og ikke
længere som indbygget modul i Apache).

M.v.h.
Morten

PS: Se Jesper. Jeg råbte heller ikke af manden.