sslug-teknik team mailing list archive
-
sslug-teknik team
-
Mailing list archive
-
Message #43439
RE: Hvordan kan man overhovedet sikre et webhotel mod sc ripting via Apache?! (Uhadada!!!)
>Det er faktisk slet ikke så svært - se blot kommandoen
>show_source(FILNAVN), og vupti så har du kildekoden. Heldigvis
>er de huller dog ved at blive fyldt ud med PHP's safe mode.
Er de fleste her ikke for opensouce : )
>Så vil jeg helst ikke være den WEB ejer der har nogen form for
>brugerkontrol til deres database (og nej - det behøver ikke kun
>være tekstdatabase, PostgreSQL, mySQL hele dyngen er sårbar hvis
>man har brugernavn og password).
Det samme er din unix boks hvis man har bruger navn og password til den
men jeg skal måske se det i sammen hæng med ovenstående hvor man
har skrevet bruger navn og password til databasen i sine php scripts?
For så har man et meget alvorligt problem, da alle der har sin daglige
gang på maskinen vil kunne læse det med "vi"
>PS. Prøv f.eks. en fil med <?php show_source("/etc/passwd"); ?>
>og se hvad i får (håber i har shadow slået til).
Og her forvendtes det så at min apache ikke køre i en restricted shell?