unix script dannosi / esecuzione ksh

Naviga le tue risposte
2

Mi chiedo se la mia architettura rappresenti un rischio per la sicurezza. Dettagli:

  • L'intero sito Web non è di proprietà di ROOT ma, tuttavia, l'utente di APACHE ha invece alcune autorizzazioni piuttosto avanzate.

  • Ho una cartella "user_files" che può contenere qualsiasi tipo di file utente. Ad esempio, un file kix unix.

  • Il mio php.ini disabilita la funzione exec php (così come alcune altre funzioni sensibili)

La mia domanda è semplice ma presenta 2 aspetti:

  1. qualcuno potrebbe eseguire lo script caricato?
  2. qual è l'entità del rischio? Se lo script viene eseguito da apache, immagino che il massimo che potrebbe fare sia eliminare tutti i file di proprietà di Apache del server, giusto?

Modifica: questo penso sia legato alla programmazione, dal momento che sto anche ponendo la domanda da un punto di vista della programmazione (esecuzione di script tramite php)

    
posta 29.12.2012 - 01:53
fonte

1 risposta

1

Ci sono alcune considerazioni che devono essere fatte qui. Innanzitutto, sebbene il tuo php.ini disabiliti la funzione exec php, rimane la stessa sicurezza del server web. Considera quanto segue:

1) Il tuo server web consente l'esecuzione di script per altri linguaggi (perl, python o CGI in generale)? Oppure, forse definizioni di scriptalias.

2) Sei preoccupato di proteggere gli utenti che visualizzano il sito web? Ad esempio, se qualcuno installa un file iframe o .htaccess dannoso?

3) Sei preoccupato di ospitare contenuti dannosi / illegali?

4) Sei preoccupato di essere un relè spam / attacco?

Se qualcuno è in grado di eseguire codice nel contesto dell'utente apache, devi assumere alcune cose. Innanzitutto, devi trattare l'utente apache come qualsiasi account con una shell interattiva. Qualsiasi cosa un altro utente possa fare sul sistema locale, l'utente di apache sarebbe (probabilmente) in grado di farlo. (cioè DoS, attacca altri sistemi, attacca account con privilegi più elevati, contenuto dell'host).

HTH.

    
risposta data 01.01.2013 - 18:04
fonte

Leggi altre domande sui tag

Domande di diritto alla modifica delle leggi sulla privacy (e da destra a cancellare) e dati / backup archiviati Android apk malware