[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: Maggio 2007 ml@sikurezza.org
Soggetto: Re: [ml] strane righe in error.log di apache
Mittente: Elettrico
Data: Wed, 23 May 2007 11:50:48 +0200 (CEST)
sono un dannatø scrisse:
> 
> Firewall e chroot sono d'obbligo.

solo per precisione: il chroot non ti mette al riparo dalla scripting
injection cmq. a me è capitato che, usando una variabile non gestita in
uno script php, fossero riusciti ad includere uno script remoto e
installare un javascript per chattare. in quel caso (che mi sembra
simile all'inizio del thread) un chroot non ti mette al riparo dall'uso
"malevolo" del server.

> Disabilitare da php alcune funzioni quali
> readfile,system,exec,shell_exec,passthru,exec,proc_open,symlink per
> esempio.

questo è possibile ed è consigliato, tuttavia tieni conto che ci sono
moltissimi software che fanno uso di queste funzioni. il punto non è se
uno script è codato male, il punto è che a volte deve per forza chiamare
comandi esterni, o li si wrappa in qualche modo (sempre che si abbia la
possibilità), oppure bisogna permettere l'esecuzione di comandi esterni
(in questo caso il chroot è utile).

> In ogni caso, io disinstallo il mio wget, lynx, links and so on,
> tagliando non tutta la testa ma almeno le corna del toro e riesco a
> dormire qualche ora per notte(grazie anche al potere retroattivo della
> birra.. ^_^ ) :P

c'era, non mi ricordo dove, qualcuno che proponeva di installarne
versioni modificate nel caso servissero, in modo che fosse impossibile
usarle in maniera malevola (tipo chiedendo particolari parametri).

byez




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005