Spouštění php z TEMP_DIR (dotaz správce serveru)
- smi
- Člen | 75
Můj správce serveru mě zaskočil následujícím dotazem:
Adresar TEMP_DIR ma nastaveno pravo zapisu pro UID nebo GID beziciho http serveru.
Prostou chybou nette (chybu nelze vyloucit u niceho) lze tedy vzdalenym pristupem pres web
zapisovat do adresare TEMP_DIR a odtud nasledne spoustet svuj libovolny injektovany kod.
To je nebezpecne nejen pro prislusny virtualni web, ale pro cely server.
Otazka - lze pro nette zakazat spousteni php z adresare TEMP_DIR ?
Poradíte mi co odpovědět ?
Díky moc.
- _Martin_
- Generous Backer | 679
Pokud TEMP_DIR
není dostupný z webu, tak by spouštění
jakéhokoliv kódu z této složky šlo jen velmi obtížně. Jediný
spouštěný kód je ten generovaný (šablony, konfigurace) a to by tedy někdo
musel změnit tyto soubory. Nicméně tohle vidím na změnu serveru, neboť
povolený zápis je třeba často (např. ukládání obrázků).
- Etch
- Člen | 403
Nějak asi nechápu pointu dotazu správce serveru. Do TEMP_DIR
,
LIBS_DIR
, APP_DIR
a podobných adresářů je přece
z logiky věci zakázán přístup přes prohlížeč a je jedno jestli je to
blokované přes .htaccess
nebo třeba vyseparováním těchto
adresářů mimo document_root
. Nechápu tedy, jak by někdo mohl
vzdalenym pristupem pres web zapisovat do adresare TEMP_DIR a odtud nasledne
spoustet svuj libovolny injektovany kod, když k němu není
přístup.
Přijde mi to trochu jako kdyby správce serveru řekl, že je zakázán
veškerý upload souborů, protože by někdo za pomocí vzdáleného přístupu
přes web mohl uploadovat infikovaný kód do adresáře images
a
odtud ho pak mohl libovolně spouštět.
I když možná jsem jen dostatečně nepochopil skutečnou pointu problému.
EDIT: Mimochodem jen tak ze zajímavosti co je to za hostéra?
Editoval Etch (8. 7. 2011 18:25)
- smi
- Člen | 75
Etch napsal(a):
Nějak asi nechápu pointu dotazu správce serveru. Do
TEMP_DIR
,LIBS_DIR
,APP_DIR
a podobných adresářů je přece z logiky věci zakázán přístup přes prohlížeč a je jedno jestli je to blokované přes.htaccess
nebo třeba vyseparováním těchto adresářů mimodocument_root
. Nechápu tedy, jak by někdo mohl vzdalenym pristupem pres web zapisovat do adresare TEMP_DIR a odtud nasledne spoustet svuj libovolny injektovany kod, když k němu není přístup.Přijde mi to trochu jako kdyby správce serveru řekl, že je zakázán veškerý upload souborů, protože by někdo za pomocí vzdáleného přístupu přes web mohl uploadovat infikovaný kód do adresáře
images
a odtud ho pak mohl libovolně spouštět.I když možná jsem jen dostatečně nepochopil skutečnou pointu problému.
EDIT: Mimochodem jen tak ze zajímavosti co je to za hostéra?
To není hosting, to je správce na našem serveru.
Editoval smi (8. 7. 2011 18:37)