sslug-teknik team mailing list archive
-
sslug-teknik team
-
Mailing list archive
-
Message #43438
RE: Hvordan kan man overhovedet sikre et webhotel mod sc ripting via Apache?! (Uhadada!!!)
> > Subject: RE: [TEKNIK] Hvordan kan man overhovedet sikre
et webhotel
> > mod scripting via Apache?! (Uhadada!!!)
> >
> > Andreas skrev:
teste sig frem.
> >
> > Næh det behøver man da ikke. Man starter da bare fra roden i
> > biblioteksstrukturen. Hvis man er rigtig smart, laver man et
script, der
> > kører rekursivt ned igennem filstrukturen fra "/" og laver
fpassthru()
> > på alle filer, der ender med f.eks. ".php", ".cgi", ".inc",
eller ".pl".
> > Så skulle man nok kunne få nogle interessante oplysninger ud.
> >
> >
> > > >Man har jo adgang til alle filerne hos de andre kunder på
> > webhotellet!!!
> > >
> > > Er det et problem? det er vel menigen med at have en web
server at
> > folk
> > > har adgang til den.
> >
> > Jeg omformulerer lige: "Man har jo adgang til at SE
KILDEKODEN hos de
> > andre kunder på webhotellet!!!"
> >
Det er faktisk slet ikke så svært - se blot kommandoen
show_source(FILNAVN), og vupti så har du kildekoden. Heldigvis
er de huller dog ved at blive fyldt ud med PHP's safe mode.
Så vil jeg helst ikke være den WEB ejer der har nogen form for
brugerkontrol til deres database (og nej - det behøver ikke kun
være tekstdatabase, PostgreSQL, mySQL hele dyngen er sårbar hvis
man har brugernavn og password).
Hilsen
Jesper K. Pedersen
PS. Prøv f.eks. en fil med <?php show_source("/etc/passwd"); ?>
og se hvad i får (håber i har shadow slået til).