«
»

PHP w więzieniu czyli separacja serwisów na home.pl

Styczeń 29th, 2008 by aleksander

Pokażę jak za pomocą opcji „przekierowanie na podkatalog” i pliku .htaccess można odseparować od siebie kilka serwisów WWW.

Normalnie w przypadku błędu w jednym ze skryptów php atakujący będzie miał dostęp do każdego pliku na naszym koncie, a co za tym idzie do każdego serwisu.

„Przekierowanie na podkatalog” tworzy coś jak chroot/jail – skrypt php wykonany w ramach serwisu ma dostęp tylko do swojego katalogu (dlatego często trzeba tworzyć w nim /tmp)

przekierowanie na podkatalog w home.pl

jednak jest to „prawie jak chroot” ;) bo różnica polega na tym, że odwołując się do „numeru_ip/katalog” skrypt php znowu uzyskuje dostęp do całego serwisu:

http://1.3.4.5/policja.szczytno.pl/podatny.php?id=rm -rf /

z pomocą przychodzi .htaccess (umieszczony w katalogu głównym) w którym blokujemy wywołania do katalogu w którym jest nasz odseparowany serwis:

htaccess deny

po tym zabiegu odwołanie:

http://1.3.4.5/policja.szczytno.pl/

skończy się 403 Forbidden

a pod http://policja.szczytno.pl/

otworzy nam się odseparowany od reszty serwis.

co oczywiście nie oznacza że nie ma innej drogi na wyjście poza ten pseudo chroot, ale przecież nie będziemy tam trzymali policyjnej bazy danych … ;)

PS.

jakby ktoś chciał mieć prawdziwy jail to proponuje otworzyć serwis porno na domenie podobnej do wyżej wymienionej – zostało jeszcze parę sporych miast z ‘policja’ w nazwie …

Podobne wpisy:

  1. Serwis MP3 wysokie zarobki czyli jak zarobić 3000zł kradnąc cudzy content
  2. Jak Policja w Katowicach przyczyniła się do „włamania” na ich serwer.
  3. Jak można (było) pozbawić internetu kilkanaście tysięcy abonentów Neostrady
  4. Jeśli ktoś sprzedaje serwis na allegro po aktrakcyjnej cenie

  1. No Comments

You must login to post a comment.

«
»