sslug-teknik team mailing list archive

Thread
Date

RE: Hvordan kan man overhovedet sikre et webhotel mod sc ripting via Apache?! (Uhadada!!!)

To: "'sslug-teknik@xxxxxxxx'" <sslug-teknik@xxxxxxxx>
From: Andreas Overgaard <anov@xxxxxx>
Date: Thu, 25 Oct 2001 09:56:18 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm

Der er jo næsten kun sandheder her i så jeg bukker mit hoved i skam : ) jeg
forstår bare ikke lige den med retighederne

> -----Original Message-----
> From:	Morten Egelund Rasmussen [SMTP:sslug-teknik@xxxxxxxxxxxxxx]
> Sent:	Wednesday, October 24, 2001 4:09 PM
> To:	sslug-teknik@xxxxxxxx
> Subject:	RE: [TEKNIK] Hvordan kan man overhovedet sikre et webhotel
> mod scripting via Apache?! (Uhadada!!!)
> 
> 
> Andreas skrev:
> > Et helt almindeligt webhotel der køre out of the boks redhat
> > linux eller noget ligende måske for du har da hardcodet hans 
> > home dir ind hvor fik du det fra?
> > hvor fik du brugernavn fra?
> > OK man kan selvfølgelig teste sig frem.
> 
> Næh det behøver man da ikke. Man starter da bare fra roden i
> biblioteksstrukturen. Hvis man er rigtig smart, laver man et script, der
> kører rekursivt ned igennem filstrukturen fra "/" og laver fpassthru()
> på alle filer, der ender med f.eks. ".php", ".cgi", ".inc", eller ".pl".
> Så skulle man nok kunne få nogle interessante oplysninger ud.
> 
> 
> > >Man har jo adgang til alle filerne hos de andre kunder på
> webhotellet!!!
> >
> > Er det et problem? det er vel menigen med at have en web server at
> folk
> > har adgang til den.
> 
> Jeg omformulerer lige: "Man har jo adgang til at SE KILDEKODEN hos de
> andre kunder på webhotellet!!!"
> 
> 
> > >Årsagen er selvfølgelig, at der scriptes igennem Apache, som ikke kan
> > >kende forskel på brugerne.....
> >
> > øhh kan den ikke det forstår jeg ikke helt for det er altså UNIX
> > retighederne der tæller
> > 
> > > -- Og Apache skal selvfølgelig have
> > >adgang til alle PHP-filer og CGI-scripts.... -- Det er jo ikke noget
> > >specielt PHP-relateret problem, da man jo også kan lave dette gennem
> > >Perl- eller bash-scripts...
> > 
> >   Den skal vel bare have lov til at exec. dem
> 
> Hvis jeg var dig, ville jeg nok sætte mig ned for at læse lidt på
> hvordan brugerrettigheder virker (og hvordan Apache virker). (No
> offense, men der er et reelt problem med PHP her.)
> 
>  
> > >Jeg vil vædde min gamle ZX81 på, at 99% af alle webhoteller (med
> Apache)
> > >kan "hackes" på denne måde!
> > 
> > Det er fandme en aftale. dit script er jo totalt skod hvis man ikke
> > kender katalog strukturen.
> 
> Øhm.... Jeg tror nok at filmen knækkede her... :-/
> 
> 
> > >(Og det kan vi jo ikke have hos os selv, vel?!)
> >
> > Så i vil ikke have at folk kan læse jeres hjemme side, det er skam
> helt
> > fint med mig men nok lidt bad for forretningen : )
> 
> Prøv selv at gøre det med PHP på et tilfældigt mailhotel (evt. jeres
> egne servere). Så kan vi måske skrives ved...
> 
> Sidst skal det lige nævnes, at jeg nu har fået pillet en del ved
> opsætningen på den server jeg roder med. Umiddelbart er det let nok at
> begrænse adgangen for CGI-scripts. (Gøres v.h.a. suEXEC.) M.h.t. PHP er
> det noget vanskeligere, men jeg er ved at nærme mig en løsning hvor
> kildekoden til suEXEC er patchet (for at undgå shebang-linier).
> Slutresultatet bliver at PHP også kommer til at køre som CGI (og ikke
> længere som indbygget modul i Apache).
> 
> M.v.h.
> Morten
> 
> PS: Se Jesper. Jeg råbte heller ikke af manden.
> 
> 
> 
>