04. september 2001 - 17:16Der er
18 kommentarer og 1 løsning
Sikkerhedshul !!!
Hejsa
Jeg har et sikkerhedshul på min server...
Hvordan kan man fjerne muligheden for:
open(HANDLE, \'../../dir/filnavn.noget);
(virker både i php og perl...)
det er ../../-delen der er den farlige... brugere skal ikke kunne gå ud af deres eget dir og kunne læse andres filer, SELVOM de andres filer har chmod 755..
superbent>alle spørgsmål skal besvares over eksperten.dk - eller hvis der svares uden for eksperten.dk, skal svaret postes her... så andre også kan få glæde af det.
dr.m>securityfocus.com er et ret stort sted. Det ville lidt være det samme, som hvis der var een der spurgte en ansat i Bilka, hvor deres cola står henne og den ansatte svarede \"herinde et sted\"...
thomasledet> Jeg ville bare tale med den person, som vidste noget om det, fordi det går lidt hurtigere over ICQ. Derefter kunne jeg poste selve den chat session vi lavede hvis den person kunne hjælpe. :)
ville være sikker på at jeg havde fået lukket det hul som du var ved at svare på for superbent.
open(HANDLE, \'../../dir/filnavn.noget);
(virker både i php og perl...)
det er ../../-delen der er den farlige... brugere skal ikke kunne gå ud af deres eget dir og kunne læse andres filer, SELVOM de andres filer har chmod 755..
master properties: WWW, tryk på edit, vælg fanebladet home directory, tryk på configuration, vælg fanebladet app options og søg for at Enable Parent Paths IKKE er hakket af
parentpath har ikke direkte noget med sikkerhed at gøre.. jeg vil tro at sb\'s problem ligger andetsteds da jeg aldrig har haft problemer med pp med IIS
problemet er, at ingen af brugerne er system-account... de eksisterer kun i en mysql-database... hvorfra de bliver hentet ud af proftpd... alle filer (selvom de er lavet af et andet menneske) er derfor oprettet af samme bruger og har samme tilhørsforhold...
\"brugerne\" har hvert deres dir som de råder over, og proftpd søger nogenlunde for at holde dem i dette, så de ikke kan kigge rundt i andres filer. Problemet er så bare, at det kan de jo sagtens med php... eller perl for dens sags skyld... og det er lidt et problem, da deres database-passwords, php/perl-source-code, etc jo så er frit tilgængeligt for enhver idiot, der kan tænke bare lidt i nærheden af det sædvanlige.
Ja, jeg er villig til at give ALLE mine points....hvis der er nogen der kan hjælpe mig med mit problem...
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.