Re: Frage zu Sicherheit public_html und php
On Wed, Apr 23, 2003 at 12:49:00AM +0200, Stephan Dietl wrote:
> Ich habe mod_userdir aktiv, jetzt kann leider jeder User, der böse genug
> ist ;) in seinem ~/public_html eine index.php erstellen mit z.b. diesem
> Inhalt:
>
> <?php
>
> echo "test";
>
> system("ls /var/www/SOMEAPP/adm -l");
>
> system("cat
> /var/www/SOMEAPP/adm/DATEN_WEBSERVER_LESEN_SOLL_ABER_NICHT_USER.php");
>
> ?>
>
> und damit alle möglichen Sachen mit den Rechten von www-data
> ausführen.....Testweise haben wir damit das MySQL-Passwort unseres
> Forums ausgelesen und Felder umgeschrieben....
Aktiviere den safe_mode und setze die Variable open_basedir. Dann hast
Du den Nutzer in sein open_basedir eingesperrt und system sowie exec
Befehle sind nicht mehr möglich. Ist Dir das zu restriktiv dann solltest
Du php als CGI einsetzen und über suexec die Ausführung mit den Rechten
des Eigentümers bewerkstelligen.
> Wie unterbindet man sowas denn am besten, ein IncludesNoExec ist ja
> schon gesetzt?
Du verwendest kein Includes sondern system.
greetinXs,
Michael Hilscher
--
Would Mozart have been more productive if he had scribes to help him, a
secretary and a CEO to lead his way? -- Linus Torvalds
Reply to: