Si può creare di proposito un sito vulnerabile per attaccare un server di un provider di hosting?

Naviga le tue risposte
7

È possibile sfruttare una vulnerabilità in un'applicazione per attaccare un'altra applicazione sullo stesso server?

Quindi, in base alla risposta alla domanda precedente, è possibile che quando un sito Web su un server sia vulnerabile all'esecuzione remota, ciò implichi che tutti i siti Web ospitati sullo stesso server potrebbero essere compromessi.

Quindi mi chiedevo se si sarebbe creato un sito Web con questa vulnerabilità apposta. Quindi lascia che sia ospitato da un provider di hosting. Un tale provider di hosting ha probabilmente circa 50 siti Web ospitati su un server.

Questo potrebbe portare a compromessi su tutti gli altri siti Web su questo server? Se no, come viene impedito? Se sì, come si potrebbe prevenire questo?

La discussione su questa domanda ha portato a una nuova domanda riguardante la prevenzione di questo thread: Come fanno i provider di hosting impedire la compromissione di un sito web causando il compromesso di un altro?

    
posta Just van der Veeken 30.05.2018 - 10:05
fonte

2 risposte

11

Non avresti bisogno del sito vulnerabile se hai già un account sull'host condiviso. Quello di cui hai bisogno è l'esecuzione del codice sull'host. Una vulnerabilità legata all'esecuzione di codice in modalità remota in uno dei siti Web ospitati ti dà questo, certo. Ma se hai già il tuo account, perché non caricare semplicemente il codice che vuoi eseguire?

Suppongo che l'installazione di un'applicazione vulnerabile potrebbe essere un modo per evitare di essere ritenuto responsabile dell'attacco ("non ero io, ero stato violato"). Ma non è strettamente necessario.

Le aziende che offrono hosting condiviso devono cercare di separare i diversi account il più possibile. Questa non è sempre una cosa facile da fare. Le vulnerabilità nel sistema operativo o le errate configurazioni del server possono essere sfruttate per accedere ad altri account. Un buon fornitore di hosting potrebbe rendere tali attacchi difficili mantenendo il software aggiornato e configurando le cose correttamente. Ma a buon mercato è raramente buono, e l'hosting condiviso è spesso economico.

    
risposta data 30.05.2018 - 10:17
fonte
-1

Avere una vulnerabilità suggerisce un punto debole che verrebbe sfruttato da un utente malintenzionato, il che non è vero quando l'utente malintenzionato ha già accesso al sistema (il provider di hosting).

Ciò che sembra chiedere è la possibilità di sfruttare altri tenant sui sistemi, che è una domanda troppo ampia per rispondere in uno, e dipende dal modo in cui le risorse sono condivise sul server.

    
risposta data 30.05.2018 - 10:17
fonte

Leggi altre domande sui tag

Come faccio ad attraversare il mio computer CA? Perché l'attacco JSON Hijacking non funziona nei browser moderni? Come è stato risolto?