DevProTalk

Forumi IT profesionalaca
web development, web design, e-business, SEO


Idite nazad   DevProTalk > Web development i web aplikacije > Web aplikacije, web servisi i software
Želite da se reklamirate ekskluzivno na ovoj poziciji? Javite se

Web aplikacije, web servisi i software Frameworks, web servisi, programi, plugin-ovi, ekstenzije korisni za razvoj web sajtova. Sponzor: vivvo

Odgovori
 
Alati teme Način prikaza
Staro 10. 01. 2012.   #11
srdjevic
profesionalac
Professional
 
Datum učlanjenja: 15.06.2005
Lokacija: Chicago IL, USA
Poruke: 209
Hvala: 12
12 "Hvala" u 11 poruka
srdjevic is on a distinguished road
Default

Najveci problem su ti html editori i ekipa koji rade upload fajlova. Pa ti onda haker lepo spakuje test.php.gif koji ima header GIF fajla (pa getimageinfo() vraca sve ok), a iza njega PHP kod...

E sad, najveci crnjak (koji nikako ne mogu da shvatim) je da default config PHPa/Apacha parsira PHPove koji imaju ".php" u imenu, a NE koji se zavrsavaju na .php. Lako je proveriti ovo, a jos lakse ispraviti...

Treba dodati jos nesto u htaccess pored odbijanja pristupa, jer ova vasa resenja (@ljtruba, @ivanhoe) ne hvataju ovo o cemu pisem.


Info @ http://shishworks.blogspot.com/2010/...load-file.html
__________________
ActiveCampaign - Email marketing made simple.
srdjevic je offline   Odgovorite uz citat
Staro 10. 01. 2012.   #12
mangia
Pukovnik u penziji
Grand Master
 
Datum učlanjenja: 11.10.2006
Lokacija: Banjaluka, BiH
Poruke: 941
Hvala: 209
585 "Hvala" u 137 poruka
mangia će postati "faca" uskoromangia će postati "faca" uskoromangia će postati "faca" uskoromangia će postati "faca" uskoromangia će postati "faca" uskoromangia će postati "faca" uskoro
Pošaljite poruku preko MSN za mangia Pošaljite poruku preko Skype™ za mangia
Default

Ako se server izvršava pod apache userom a radi se o sherovanom hostingu onda imaš problem kakvu god permisiju staviš jer ako dodijeliš write pravo na neki dir za apache usera onda neka maliciozna skirpta koja se izvrši u tom diru može da piše po svim drugim dirovima koji imaju write prava za apache usera bez obzira što se radi o sasvim desetim sajtovima koji su na istom serveru...
__________________
mangiaphoto | BLOGERAJBLOG | ServerAdminBlog
mangia je offline   Odgovorite uz citat
"Hvala" mangia za poruku:
Staro 10. 01. 2012.   #13
ivanhoe
Ivan Dilber
Sir Write-a-Lot
 
Avatar ivanhoe
 
Datum učlanjenja: 18.10.2005
Lokacija: Bgd
Poruke: 5.320
Hvala: 104
2.344 "Hvala" u 583 poruka
ivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svima
Pošaljite poruku preko Skype™ za ivanhoe
Default

@srdjevic: ne znam za taj napad, probao sam sad na dva servera i ni na jednom ne radi sa fajl.php.gif, server ga posalje kao image/gif

Onaj vektor napada za koji sam cuo je da uploadujes skript.gif, sto je u stvari php skript i da onda iskoristis neku rupu u sajtu da ga nateras da uradi include tog koda... to je vrlo opasna stvar, ali tu nikakve permisije ne pomazu
__________________
Leadership is the art of getting people to want to do what you know must be done.
ivanhoe je offline   Odgovorite uz citat
Staro 10. 01. 2012.   #14
srdjevic
profesionalac
Professional
 
Datum učlanjenja: 15.06.2005
Lokacija: Chicago IL, USA
Poruke: 209
Hvala: 12
12 "Hvala" u 11 poruka
srdjevic is on a distinguished road
Default

Citat:
Originalno napisao ivanhoe Pogledajte poruku
@srdjevic: ne znam za taj napad, probao sam sad na dva servera i ni na jednom ne radi sa fajl.php.gif, server ga posalje kao image/gif

Da, posalje on fajl kao image/gif nazad, to nije problem, ali ako fajl ima u sebi PHP kod, on se izvrsi isto... Recimo <?php phpinfo(); ?> ce verovatno postaviti taj header jer je .gif, ali ce ludi Apache izvrsiti PHP kod; mozda nece dati nista u browseru / za download, ali kad pogledas source, vidis output phpinfo()a... Tako je bar bilo na skoro svim serverima koje sam proverio.
__________________
ActiveCampaign - Email marketing made simple.
srdjevic je offline   Odgovorite uz citat
Staro 10. 01. 2012.   #15
centaur
Ivan Pavković
Qualified
 
Avatar centaur
 
Datum učlanjenja: 15.01.2007
Lokacija: Beograd
Poruke: 144
Hvala: 42
16 "Hvala" u 16 poruka
centaur is on a distinguished road
Default

@sredjevic
Sa standardnim podesavanjem apache/php (probao na ubuntu i centos) izvrsavaju se samo fajlovi koji se zavrsavaju sa .php.
Fajl tipa nesto.php.gif se naravno ne izvrsava. To svakako nije standardno podesavanje apacha-a.

I ovo sa .htaccess je poslednja linija odbrane. Treba spreciti upload fajla.
Dodatno, moze se staviti u .htaccess da se u tom direktorijumu ne izvrsava php, ali smatram da je to u ovom slucaju nepotrebno.
centaur je offline   Odgovorite uz citat
Staro 10. 01. 2012.   #16
srdjevic
profesionalac
Professional
 
Datum učlanjenja: 15.06.2005
Lokacija: Chicago IL, USA
Poruke: 209
Hvala: 12
12 "Hvala" u 11 poruka
srdjevic is on a distinguished road
Default

Evo sad sam procitao opet ceo clanak, i link koji ga je podstako (http://artur.ejsmont.org/blog/conten...-security-risk)... Verovatno sam ga ja proveravao samo na Debianima, ili na serverima koji koriste AddHandler a new AddType... A mozda su i ispravili to u medj'vremenu, ko ce ga znati... ovaj info je ~godinu dana star ipak, pa se ne secam vise detalja, davno sam izucavao ovo...
__________________
ActiveCampaign - Email marketing made simple.
srdjevic je offline   Odgovorite uz citat
Staro 10. 01. 2012.   #17
webarto
expert
Grand Master
 
Avatar webarto
 
Datum učlanjenja: 11.04.2010
Poruke: 998
Hvala: 141
959 "Hvala" u 153 poruka
webarto is on a distinguished roadwebarto is on a distinguished roadwebarto is on a distinguished roadwebarto is on a distinguished roadwebarto is on a distinguished roadwebarto is on a distinguished roadwebarto is on a distinguished roadwebarto is on a distinguished road
Default

Mislim da je ovo default, $ označava kraj stringa...

PHP kôd:
<FilesMatch "\.php$">
    
SetHandler application/x-httpd-php
</FilesMatch>
<
FilesMatch "\.phps$">
    
SetHandler application/x-httpd-php-source
</FilesMatch
__________________
Github // LinkedIn // PHP // ZCE // Stackoverflow PHP // Site5 Web Hosting
webarto je offline   Odgovorite uz citat
Staro 11. 01. 2012.   #18
mangia
Pukovnik u penziji
Grand Master
 
Datum učlanjenja: 11.10.2006
Lokacija: Banjaluka, BiH
Poruke: 941
Hvala: 209
585 "Hvala" u 137 poruka
mangia će postati "faca" uskoromangia će postati "faca" uskoromangia će postati "faca" uskoromangia će postati "faca" uskoromangia će postati "faca" uskoromangia će postati "faca" uskoro
Pošaljite poruku preko MSN za mangia Pošaljite poruku preko Skype™ za mangia
Default

Fora sa nastavkom .gif je sigurnosni propust primjećen još davno u nginx web serveru gdje nije dobro kontrolisana ekstenzija nego sve što dobije proslijedi na "žvakanje" i tako .gif postane remote shell

Štivo za čitanje 1
https://nealpoole.com/blog/2011/04/s...configuration/

Štivo za čitanje 2
http://forum.nginx.org/read.php?2,88845,88996
__________________
mangiaphoto | BLOGERAJBLOG | ServerAdminBlog
mangia je offline   Odgovorite uz citat
"Hvala" mangia za poruku:
Staro 11. 01. 2012.   #19
ljtruba
old school
Expert
 
Datum učlanjenja: 14.10.2006
Poruke: 460
Hvala: 39
17 "Hvala" u 14 poruka
ljtruba is on a distinguished road
Default

Citat:
Originalno napisao Nemanja Avramović Pogledajte poruku
suPHP menja UID procesa koji izvršava skripu tako da se skripte izvršavaju pod onim korisnikom koji je njihov vlasnik, tako da skripta može i da piše u fajlove koji imaju chmod 644 i foldere koji imaju 755 npr (ako je owner isti kao owner skripte). Ja ga koristim na serveru i super vrši posao, a pritom i sprečava malware da pređe sa nekog sajta na tom serveru na drugi sajt na istom serveru
Nemanja, da li mi mozes reci vise o suPHP... kako se namesta, podesava, kako se primenjuje na WP??
ljtruba je offline   Odgovorite uz citat
Staro 11. 01. 2012.   #20
Nemanja Avramović
emperor Selassie
Grand Master
 
Avatar Nemanja Avramović
 
Datum učlanjenja: 20.10.2006
Lokacija: Mladenovac
Poruke: 754
Hvala: 361
576 "Hvala" u 88 poruka
Nemanja Avramović će postati "faca" uskoroNemanja Avramović će postati "faca" uskoroNemanja Avramović će postati "faca" uskoroNemanja Avramović će postati "faca" uskoroNemanja Avramović će postati "faca" uskoroNemanja Avramović će postati "faca" uskoro
Pošaljite ICQ poruku za Nemanja Avramović Pošaljite poruku preko MSN za Nemanja Avramović Pošaljite poruku preko Yahoo za Nemanja Avramović
Default

Iskreno, ja koristim managed vps tako da je tehnička podrška instalirala i podesila suPHP za mene, ali ne bi trebalo da bude preterano komplikovano. Ima i dokumentacija na www.suphp.org gde je opisano kako se instalira i podešava.

Što se WP-a tiče, nema šta da se primenjuje na njega jer je suPHP dodatak za Apache i kada se jednom podesi (dobro napisane) skripte ne bi trebalo da primete da se bilo šta promenilo u serverskom okruženju, odnosno sve bi trebalo da radi out-of-the-box...
__________________
Moj portfolio sajtić | wat?
Nemanja Avramović je offline   Odgovorite uz citat
Odgovori


Alati teme
Način prikaza

Pravila pisanja
Možete ne započinjati nove teme
Možete ne slati odgovore
Možete ne slati priloge
Možete ne izmeniti svoje poruke
vB kôd je Uključen
Smajliji su Uključen
[IMG] kod je Uključen
HTML kôd je Isključen
Pogledajte forum


Vreme je GMT +2. Trenutno vreme je 08:21.


Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.
Mišljenja, saveti, izjave, ponude ili druge informacije ili sadržaji nastali na Sajtu su vlasništvo onoga ko ih je kreirao, a ne DevProTalk.com, tako da ne morate da se oslanjate na njih.
Autori poruka su jedini odgovorni za ovakve sadržaje. DevProTalk.com ne garantuje tačnost, kompletnost ili upotrebnu vrednost informacija, stavova, saveta ili datih izjava. Ne postoje uslovi pod kojima bi mi bili odgovorni za štetu ili gubitak koji je posledica bilo čijeg oslanjanja na nepouzdane informacije, ili bilo kakve informacije nastale kroz komunikaciju između registrovanih članova.
Web sajt može sadržavati linkove na druge web sajtove na Internetu ili neke druge sadržaje. Ne kontrolišemo niti podržavamo te druge web sajtove, niti smo pregledali bilo kakve sadržaje na takvim sajtovima. Mi nećemo biti odgovorni za legalnost, tačnost ili prikladnost bilo kog sadržaja, oglasa, proizvoda, usluga ili informacije lociranim na ili distribuiranih kroz druge web sajtove, niti za bilo kakvu štetu nastalu kao posledica takvih informacija. DevProTalk.com drži i čuva druga prava vlasništva na web sajtu. Web sajt sadrže materijale zaštićene copyright-om, zaštitne znakove i druge informacije o pravu vlasništva ili softver. Članovi mogu poslatu informacije zaštićene pravima vlasništva njihovih nosilaca i ona ostaju zaštićena bez obzira da li su oni koji prenose te informacije to naveli ili ne. Osim informacija koje su u javnom vlasništvu ili za koje dobijete dozvolu, nemate pravo da kopirate, modifikujete ili na bilo koji način menjate, objavljujete, prenosite, distribuirate, izvršavate, prikazujete ili prodajte bilo koju informaciju zaštićenu pravima vlasništva. Slanjem informacija ili sadržaja na bilo koji deo DevProTalk.com, Vi automatski dozvoljavate i predstavljate garanciju da imate pravo da dozvolite DevProTalk.com ili članovima DevProTalk.com bespovratnu, kontinualnu, neograničenu, globalnu dozvolu da koriste, kopiraju, izvršavaju, prikazuju i distribuiraju takve informacije i sadržaje i da iz takvih sadžaja koriste bilo koji deo u bilo koje svrhe, kao i pravo i dozvolu da koriste gore navedene sadržaje. Svi zaštitni znakovi (trademarks), logotipi, oznake usluga, firme ili imena proizvoda koji se pominju na ovom web sajtu su vlasništvo kojim raspolažu njihovi vlasnici.