I moduli isolati possono essere pericolosi per la sicurezza del mio server? [chiuso]

0

Sto imparando PHP e allo stesso tempo scrivo gli esempi che ottengo dal libro alle pagine .php per testarli e infine pubblicarli. La mia preoccupazione riguarda un mucchio di moduli che sono lì per testare i codici; queste sono forme molto semplici che non hanno codice di convalida e vorrei sapere se qualcuno potrebbe fare cose cattive nei miei file / hosting inserendo codici su di essi. In realtà queste forme non puntano a nessun dato importante, sono lì solo per scrivere sulla stessa pagina web ma senza salvare alcuna informazione, ma ho questa preoccupazione poiché non conosco questi linguaggi web.

    
posta 23.01.2014 - 14:30
fonte

3 risposte

1

Credo che tu stia chiedendo di un modulo che invierà dati al server, e i dati verranno iniettati in un file .php (o eseguiti al volo) e quindi l'output verrà visualizzato come un modo per visualizzare l'anteprima Comandi PHP in un ambiente di apprendimento PHP. Esaminando tuo commento , è chiaro che questo è davvero quello che stai cercando di fare.

Non farlo. Stai sostanzialmente fornendo un accesso aperto eval al tuo server. Dovrai passare innumerevoli ore a filtrare le dichiarazioni e le chiamate di funzione dannose di PHP e non le prenderai tutte; ti mancherà qualcosa . Ci sono altre persone intelligenti che hanno trascorso molto tempo sviluppare tali servizi in modo sicuro.

Crea e leggi tutti i tutorial di cui hai bisogno, ma quando vuoi far sì che altri lo testino, allora quando vuoi testare o lasciare un altro test, usa i servizi progettati per questo. Un'altra possibilità è usare qualcosa come EasyPHP o XAMPP per avere il tuo ambiente di sviluppo sul tuo computer.

    
risposta data 23.01.2014 - 15:27
fonte
1

La tua preoccupazione principale, se puoi usare questi script per "riscrivere" nella pagina, è Cross-Site Scripting ( XSS) . Devi anche essere consapevole del fatto che solo perché non si collega a un file, non significa che qualcuno non lo troverà sul tuo sito. Esistono strumenti (ad esempio dirbuster) in grado di eseguire la brute-force dei nomi di file e directory sui server Web per trovare elementi interessanti come gli script di amministrazione.

Bottom line: non inserire i dati di test sul tuo server di produzione, o, se devi assolutamente , almeno mettere gli script in una directory protetta da una password (ad es. htpasswd per Apache).

EDIT: Adnan sottolinea che vuoi eseguire codice PHP arbitrario sul tuo server, inviato dagli utenti. Questa è la definizione di un orribile buco di sicurezza. Il modo in cui gli altri siti si aggirano è attraverso la sandboxing pesante dell'installazione di PHP e dei comandi rischiosi nella blacklist, ma anche in questo caso non è perfetto. Il mio consiglio? Non provare a farlo se non hai molta esperienza in PHP, amministrazione Linux e sicurezza.

    
risposta data 23.01.2014 - 15:15
fonte
0

La risposta alla tua domanda è "sì". A seconda di come e cosa stai facendo in questi test isolati, e questo in congiunzione con il fatto che sei un principiante in questi linguaggi è abbastanza probabile che tu abbia una backdoor piuttosto che permettere a un utente malintenzionato di controllare l'utente http del tuo server e sarà in grado di scrivere file, elencarli, modificarli ...

I test dovrebbero essere eseguiti in ambienti di test controllati. OSSIA il tuo pc =)

    
risposta data 23.01.2014 - 15:21
fonte

Leggi altre domande sui tag