форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"mod_php + libcurl - дырка позволяюящая обходить запреты на в..."
Сообщение от durando (ok) on 03-Ноя-04, 17:46  (MSK)
при использовании  php_mod скомпилированного с поддержкой curl использование кода вроде этого: $ch=curl_init(file:/etc/смизнаетечто); $files=culr_exec($ch); echo $files; приводит к возможности просмотра и скачивания любого файла в системе, почти независимо от установленных прав на него. также не важно, как запускается php -  suphp, phpsuexec, mod_php также подвержены тому же самсому. ограничения safe_mod, выключение функций системных  в php.ini, использование open_base restriction - не помогает. Кстати такая же есть проблема и в перл. Обратившись к sh можно точно так же читать почти все файлы в системе.  И suexec тут не помогает. Есть ли у кого идеи как вылечить? По поводу курл - при использовании командной строки проблемы не наблюдается.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "mod_php + libcurl - дырка позволяюящая обходить запреты на в..."
Сообщение от Xela (??) on 04-Ноя-04, 19:04  (MSK)
А под каким пользователем работает Apache?
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "mod_php + libcurl - дырка позволяюящая обходить запреты на в..."
	Сообщение от Keeper (??) on 15-Ноя-04, 10:18  (MSK)
	>А под каким пользователем работает Apache? Судя по симптомам, похоже, что под root'ом.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "mod_php + libcurl - дырка позволяюящая обходить запреты на в..."
	Сообщение от Xela (ok) on 15-Ноя-04, 10:44  (MSK)
	>>А под каким пользователем работает Apache? > >Судя по симптомам, похоже, что под root'ом. Вот и я о том же....
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "mod_php + libcurl - дырка позволяюящая обходить запреты на в..."
	Сообщение от Keeper (??) on 15-Ноя-04, 13:43  (MSK)
	To Durando: проверь лишний раз в httpd.conf, что написано в директивах User и Group.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.