Jeg er kommet til at tænke lidt over om det i grunden ikke er rimelig farligt at have 0777 rettigheder på mapper bare fordi PHP fx ellers ikke kan uploade filer til dem. Det er kun mapperne der har 0777 rettighederne, mens filerne i mappen er mere begrænsede – men er det stadigvæk ikke et problem? Er det ikke muligt for andre at smide fx et script i mappen, da de jo har alle rettigheder, og derved skabe alle mulige problemer for mig? Hvis ja, hvordan retter man så op på dette? Jeg har selv overvejet om man evt. kunne ændre rettighederne til 0777 lige før man vil flytte filer til mappen vha. php og ellers sætte rettighederne for nobody lavere. Jeg gider dog ikke lege så meget med det, hvis der rent faktisk ikke er noget problem i at rettighederne er 0777, så jeg hører gerne fra jer.
jeg har ingen helt firkantede meninger om det, men er dog af den opfattelse at der er to sager i det: den ene at lægge kode i biblioteket, den anden er at køre den. hvis den der kan køre koden ingen rettigheder har i systemet, så er der jo ikke megen skade sket. så hvis vi antager at systemet er 100% patched og der ikke er ssh adgang til serveren, så ville jeg heller ikke mene at der kan ske den store skade. men jeg ville nok bruge lidt tid på at prøve at lave det om, da det sådan rent principielt (mere end reelt) er noget sjusk (såån min personlige mening). nu kender jeg ikke så meget til php, men det kører vel under en bestemt systembruger. kan man ikke bare melde den bruger ind i passende gruppe, og så lade den gruppe eje mappen?
hack scenarie: En service på maskinen bliver hakket og en gut tiltvinger sig en shell med rettigheder som brugeren der kører den service. Siden du har sat 0777 og ikke feks 0770 så kan alle brugere på maskinen smide filer i dine web mapper. Scripts kan køres derfra, warez kan smides på din webserver osv osv..
jow, altså part 1 "En service på maskinen bliver hakket og en gut tiltvinger sig en shell med rettigheder som brugeren der kører den service."
Dette er meget sandsyneligt. Der bliver hele tiden scannet igennem hele Internet og hvis man har porten åben for en kendt exploitable service så er der også en der kommer ind, og ret hurtigt oven i købet.
part 2 "Siden du har sat 0777 og ikke feks 0770 så kan alle brugere på maskinen smide filer i dine web mapper."
Det afhænger lidt hvor interessant det er for vedkommende, og hvad der ligger på serveren. Hvis der feks er installeret php på maskinen vil det være en smal sag for en hacker at få en ny shell som kører med apache privilegier. Herefter har han så adgang til alt hvad apache har adgang til. Dvs muligvis læsning af databaser, phishing, defacement af webserver, at bruge den som spam relay med diverse scripts hvis der er adgang til port 25 ud osv. Med disse muligheder ER det sandsynligt at det vil blive identificeret som næste skridt/angrebspunkt for en hacker med en lav-priviligeret shell på maskinen.
Det her understreger vel også hvor super-vigtigt det er ikke at køre apache eller nogen anden service som root. Hvis apache kørte som root, så ville hackeren have en root shell i dette scenarie. Dvs ubegrænsede muligheder.
Tilføjelse: Måden man skal tænke på er "Hvis nu apache kontoen var en hacker, hvad ville den så kunne gøre af nasty ting på min maskine?". Feks er skriverettigheder til filer på website så en dårlig ide at give til apache.
Kan godt se jeg har et problem, hvis en hacker får en shell. Lad os som udgangspunkt antage, at serveren er uden de store sikkerhedsbrølere. Hvor stor en risiko løber jeg så med min 0777 mappe på webserveren? Hvordan skulle man uden en shell kunne smide scripts i mappen (tjekker selvfølelig hvad det er for nogle filer, der bliver uploadet) og eksekvere dem? Kræver dette ikke at hackeren også får en shell?
Der er hele den type af angreb der hedder "Cross site scripting" at tage højde for også. securityfocus.com har sikkert en masse information om det.
Og der kan være en svagt programmeret web applikation på. Eksempelvis har der været mange huller i phpnuke og lignende programmer. Men som altid med sikkerhed: Det hele afhænger lidt..
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.