GoldenLine
Zaloguj się
Łukasz S.

Łukasz S. Programista
Aplikacji
Internetowych

Temat: Bezpieczeństwo - scandir

Witajcie,
Czy zastanawialiście się kiedyś jak zabezpieczyć się przed niepowołanym użyciem scandir ? Powiedzmy mamy stronę na swoim serwerze - udostępniamy klientowi konto FTP, na koncie uruchamia sobie skrypcik odczytujący zawartość katalogu i plików. Jako, że jest to skrypt uruchamiany na naszym koncie hostingowym to ma on dostęp do wszystkich naszych produktów.

Jak zabezpieczyć się przed takim delikwentem ? Czy znacie jakieś metody ?

Sprawa jest tak na prawdę dla mnie bardzo istotna - hosting szkoły do której chodziłem ma nielimitowaną ilość FTP i w sumie można było by uczniom ze zdolnościami programistycznymi udostępnić trochę miejsca i subdomenę. Jednak skoro delikwent jest tak zdolny to spokojnie będzie w stanie odczytać/zapisać dowolny plik na serwerze w ramach konta z hostingu.

A może znacie jakąś metodę kodowania hasła do bazy danych - tak by było na zasadzie hasha jednostronnie kodowane ?

Pozdrawiam - Łukasz Schab
http://schab.czest.pl/
Link do wypowiedziLink
Wojciech Sznapka

Wojciech Sznapka CTO @ STS Zakłady
Bukmacherskie

Temat: Bezpieczeństwo - scandir

safe mode?
Link do wypowiedziLink
Łukasz S.

Łukasz S. Programista
Aplikacji
Internetowych

Temat: Bezpieczeństwo - scandir

Brak uprawnień do zmiany safe mode z poziomu htaccess.
Link do wypowiedziLink

konto usunięte

Temat: Bezpieczeństwo - scandir

Wojciech Sznapka:
safe mode?

litości x_x
Link do wypowiedziLink
Marek Wywiał

Marek Wywiał Programista,
administrator,
instruktor

Temat: Bezpieczeństwo - scandir

* wnioskuję, że chodzi Ci o php.
* skoro piszesz o próbie z htaccess, czyli nie masz dostępu do konfiguracji maszyny, tylko kont pojedyńczych

wtedy możesz ew. by htaccess uruchomić php jako cgi z custom php.ini per user, w którym wyłączysz scandir itp.

ew. wrzucic php jako cgi do jail (więcej pracy, lepszy efekt)

oczywiscie musisz miec mozliwość wprowadzania tych zmian w htaccess,
+ by ftp nie powinno dać się zmieniać tych opcji (zaraz sobie pozmieniają)

coś czuję, że bez pomocy admin'a i zmian na serwerze to i tak nic z tego nie wyjdzie
Link do wypowiedziLink

konto usunięte

Temat: Bezpieczeństwo - scandir

chroot na apache ?

Oczywiscie jesli PHP leci jako CGI to rowniez bedziesz musial to schrootowac.Marcin B edytował(a) ten post dnia 06.05.09 o godzinie 21:13
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj