sslug-teknik team mailing list archive

Thread
Date

RE: Hvordan kan man overhovedet sikre et webhotel mod sc ripting via Apache?! (Uhadada!!!)

To: "'sslug-teknik@xxxxxxxx'" <sslug-teknik@xxxxxxxx>
From: Andreas Overgaard <anov@xxxxxx>
Date: Thu, 25 Oct 2001 10:25:48 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm

>Det er faktisk slet ikke så svært - se blot kommandoen 
>show_source(FILNAVN), og vupti så har du kildekoden. Heldigvis 
>er de huller dog ved at blive fyldt ud med PHP's safe mode.

  Er de fleste her ikke for opensouce : )

>Så vil jeg helst ikke være den WEB ejer der har nogen form for 
>brugerkontrol til deres database (og nej - det behøver ikke kun 
>være tekstdatabase, PostgreSQL, mySQL hele dyngen er sårbar hvis 
>man har brugernavn og password).

  Det samme er din unix boks hvis man har bruger navn og password til den
  men jeg skal måske se det i sammen hæng med ovenstående hvor man
  har skrevet bruger navn og password til databasen i sine php scripts?
  For så har man et meget alvorligt problem, da alle der har sin daglige
  gang på maskinen vil kunne læse det med "vi"

>PS. Prøv f.eks. en fil med  <?php show_source("/etc/passwd"); ?> 
>og se hvad i får (håber i har shadow slået til).

  Og her forvendtes det så at min apache ikke køre i en restricted shell?