|
Web aplikacije, web servisi i software Frameworks, web servisi, programi, plugin-ovi, ekstenzije korisni za razvoj web sajtova. Sponzor: |
|
Alati teme | Način prikaza |
10. 01. 2012. | #11 |
profesionalac
Professional
Datum učlanjenja: 15.06.2005
Lokacija: Chicago IL, USA
Poruke: 209
Hvala: 12
12 "Hvala" u 11 poruka
|
Najveci problem su ti html editori i ekipa koji rade upload fajlova. Pa ti onda haker lepo spakuje test.php.gif koji ima header GIF fajla (pa getimageinfo() vraca sve ok), a iza njega PHP kod...
E sad, najveci crnjak (koji nikako ne mogu da shvatim) je da default config PHPa/Apacha parsira PHPove koji imaju ".php" u imenu, a NE koji se zavrsavaju na .php. Lako je proveriti ovo, a jos lakse ispraviti... Treba dodati jos nesto u htaccess pored odbijanja pristupa, jer ova vasa resenja (@ljtruba, @ivanhoe) ne hvataju ovo o cemu pisem. Info @ http://shishworks.blogspot.com/2010/...load-file.html
__________________
ActiveCampaign - Email marketing made simple. |
10. 01. 2012. | #12 |
Pukovnik u penziji
Grand Master
|
Ako se server izvršava pod apache userom a radi se o sherovanom hostingu onda imaš problem kakvu god permisiju staviš jer ako dodijeliš write pravo na neki dir za apache usera onda neka maliciozna skirpta koja se izvrši u tom diru može da piše po svim drugim dirovima koji imaju write prava za apache usera bez obzira što se radi o sasvim desetim sajtovima koji su na istom serveru...
|
"Hvala" mangia za poruku: |
10. 01. 2012. | #13 |
Ivan Dilber
Sir Write-a-Lot
|
@srdjevic: ne znam za taj napad, probao sam sad na dva servera i ni na jednom ne radi sa fajl.php.gif, server ga posalje kao image/gif
Onaj vektor napada za koji sam cuo je da uploadujes skript.gif, sto je u stvari php skript i da onda iskoristis neku rupu u sajtu da ga nateras da uradi include tog koda... to je vrlo opasna stvar, ali tu nikakve permisije ne pomazu
__________________
Leadership is the art of getting people to want to do what you know must be done. |
10. 01. 2012. | #14 | |
profesionalac
Professional
Datum učlanjenja: 15.06.2005
Lokacija: Chicago IL, USA
Poruke: 209
Hvala: 12
12 "Hvala" u 11 poruka
|
Citat:
Da, posalje on fajl kao image/gif nazad, to nije problem, ali ako fajl ima u sebi PHP kod, on se izvrsi isto... Recimo <?php phpinfo(); ?> ce verovatno postaviti taj header jer je .gif, ali ce ludi Apache izvrsiti PHP kod; mozda nece dati nista u browseru / za download, ali kad pogledas source, vidis output phpinfo()a... Tako je bar bilo na skoro svim serverima koje sam proverio.
__________________
ActiveCampaign - Email marketing made simple. |
|
10. 01. 2012. | #15 |
Ivan Pavković
Qualified
Datum učlanjenja: 15.01.2007
Lokacija: Beograd
Poruke: 144
Hvala: 42
16 "Hvala" u 16 poruka
|
@sredjevic
Sa standardnim podesavanjem apache/php (probao na ubuntu i centos) izvrsavaju se samo fajlovi koji se zavrsavaju sa .php. Fajl tipa nesto.php.gif se naravno ne izvrsava. To svakako nije standardno podesavanje apacha-a. I ovo sa .htaccess je poslednja linija odbrane. Treba spreciti upload fajla. Dodatno, moze se staviti u .htaccess da se u tom direktorijumu ne izvrsava php, ali smatram da je to u ovom slucaju nepotrebno. |
10. 01. 2012. | #16 |
profesionalac
Professional
Datum učlanjenja: 15.06.2005
Lokacija: Chicago IL, USA
Poruke: 209
Hvala: 12
12 "Hvala" u 11 poruka
|
Evo sad sam procitao opet ceo clanak, i link koji ga je podstako (http://artur.ejsmont.org/blog/conten...-security-risk)... Verovatno sam ga ja proveravao samo na Debianima, ili na serverima koji koriste AddHandler a new AddType... A mozda su i ispravili to u medj'vremenu, ko ce ga znati... ovaj info je ~godinu dana star ipak, pa se ne secam vise detalja, davno sam izucavao ovo...
__________________
ActiveCampaign - Email marketing made simple. |
10. 01. 2012. | #17 |
expert
Grand Master
Datum učlanjenja: 11.04.2010
Poruke: 998
Hvala: 141
959 "Hvala" u 153 poruka
|
Mislim da je ovo default, $ označava kraj stringa...
PHP kôd:
|
11. 01. 2012. | #18 |
Pukovnik u penziji
Grand Master
|
Fora sa nastavkom .gif je sigurnosni propust primjećen još davno u nginx web serveru gdje nije dobro kontrolisana ekstenzija nego sve što dobije proslijedi na "žvakanje" i tako .gif postane remote shell
Štivo za čitanje 1 https://nealpoole.com/blog/2011/04/s...configuration/ Štivo za čitanje 2 http://forum.nginx.org/read.php?2,88845,88996 |
"Hvala" mangia za poruku: |
11. 01. 2012. | #19 | |
old school
Expert
Datum učlanjenja: 14.10.2006
Poruke: 460
Hvala: 39
17 "Hvala" u 14 poruka
|
Citat:
|
|
11. 01. 2012. | #20 |
emperor Selassie
Grand Master
|
Iskreno, ja koristim managed vps tako da je tehnička podrška instalirala i podesila suPHP za mene, ali ne bi trebalo da bude preterano komplikovano. Ima i dokumentacija na www.suphp.org gde je opisano kako se instalira i podešava.
Što se WP-a tiče, nema šta da se primenjuje na njega jer je suPHP dodatak za Apache i kada se jednom podesi (dobro napisane) skripte ne bi trebalo da primete da se bilo šta promenilo u serverskom okruženju, odnosno sve bi trebalo da radi out-of-the-box... |
|
|