Spouštění php z TEMP_DIR (dotaz správce serveru)

Upozornění: Tohle vlákno je hodně staré a informace nemusí být platné pro současné Nette.
smi
Člen | 75
+
0
-

Můj správce serveru mě zaskočil následujícím dotazem:

Adresar TEMP_DIR ma nastaveno pravo zapisu pro UID nebo GID beziciho http serveru.
Prostou chybou nette (chybu nelze vyloucit u niceho) lze tedy vzdalenym pristupem pres web
zapisovat do adresare TEMP_DIR a odtud nasledne spoustet svuj libovolny injektovany kod.
To je nebezpecne nejen pro prislusny virtualni web, ale pro cely server.

Otazka - lze pro nette zakazat spousteni php z adresare TEMP_DIR ?

Poradíte mi co odpovědět ?

Díky moc.

_Martin_
Generous Backer | 679
+
0
-

Pokud TEMP_DIR není dostupný z webu, tak by spouštění jakéhokoliv kódu z této složky šlo jen velmi obtížně. Jediný spouštěný kód je ten generovaný (šablony, konfigurace) a to by tedy někdo musel změnit tyto soubory. Nicméně tohle vidím na změnu serveru, neboť povolený zápis je třeba často (např. ukládání obrázků).

Etch
Člen | 403
+
0
-

Nějak asi nechápu pointu dotazu správce serveru. Do TEMP_DIR, LIBS_DIR, APP_DIR a podobných adresářů je přece z logiky věci zakázán přístup přes prohlížeč a je jedno jestli je to blokované přes .htaccess nebo třeba vyseparováním těchto adresářů mimo document_root. Nechápu tedy, jak by někdo mohl vzdalenym pristupem pres web zapisovat do adresare TEMP_DIR a odtud nasledne spoustet svuj libovolny injektovany kod, když k němu není přístup.

Přijde mi to trochu jako kdyby správce serveru řekl, že je zakázán veškerý upload souborů, protože by někdo za pomocí vzdáleného přístupu přes web mohl uploadovat infikovaný kód do adresáře images a odtud ho pak mohl libovolně spouštět.

I když možná jsem jen dostatečně nepochopil skutečnou pointu problému.

EDIT: Mimochodem jen tak ze zajímavosti co je to za hostéra?

Editoval Etch (8. 7. 2011 18:25)

smi
Člen | 75
+
0
-

Etch napsal(a):

Nějak asi nechápu pointu dotazu správce serveru. Do TEMP_DIR, LIBS_DIR, APP_DIR a podobných adresářů je přece z logiky věci zakázán přístup přes prohlížeč a je jedno jestli je to blokované přes .htaccess nebo třeba vyseparováním těchto adresářů mimo document_root. Nechápu tedy, jak by někdo mohl vzdalenym pristupem pres web zapisovat do adresare TEMP_DIR a odtud nasledne spoustet svuj libovolny injektovany kod, když k němu není přístup.

Přijde mi to trochu jako kdyby správce serveru řekl, že je zakázán veškerý upload souborů, protože by někdo za pomocí vzdáleného přístupu přes web mohl uploadovat infikovaný kód do adresáře images a odtud ho pak mohl libovolně spouštět.

I když možná jsem jen dostatečně nepochopil skutečnou pointu problému.

EDIT: Mimochodem jen tak ze zajímavosti co je to za hostéra?

To není hosting, to je správce na našem serveru.

Editoval smi (8. 7. 2011 18:37)

Melmen
Člen | 132
+
0
-

Takovýho správce bych taky chtěl :D Radši si dělám všechno sám na svým serveru… a mám klid :)