|
|
 | SIKKERHEDSHUL... hos udbyder eller PHP????
Fra : Johan |
Dato : 05-09-01 10:53 |
|
Hej...
Jeg sad og legede lidt, og fandt ud af at jeg på Azero's servere kan finde
ALLE password til MySQL for andre brugere.... hmmm det er vel IKKE så
godt?!? 
Jeg kan læse alle filerne fra andre brugere på samme server som mig, og se i
deres mysql config filer, hvis de har en sådan.... så jeg kan reelt sidde og
legede som jeg har lyst?! Er det en fejl i PHP eller i opsætningen?
Jeg vil IKKE afsløre hvordan det gøres, da jeg er bange for det bliver
misbrugt...
mvh
Johan
| |
 Nezar Nielsen (05-09-2001)
| Kommentar
Fra : Nezar Nielsen |
Dato : 05-09-01 11:39 |
|
"Johan" <tcr480@ofir.dk> skrev i en meddelelse
news:3b95f5eb$0$233$edfadb0f@dspool01.news.tele.dk...
>
> Jeg kan læse alle filerne fra andre brugere på samme server som mig, og se
i
> deres mysql config filer, hvis de har en sådan.... så jeg kan reelt sidde
og
> legede som jeg har lyst?! Er det en fejl i PHP eller i opsætningen?
>
Det vil jeg skyde på at du kan hos 9 ud af 10 webhoteller, desværre..
Hvis Apache skal have mulighed for at servere en bunke filer, skal den have
læseadgang..
--
Mvh. Nezar Nielsen
http://fez.dk/
| |
Jakob Færch (05-09-2001)
| Kommentar
Fra : Jakob Færch |
Dato : 05-09-01 12:12 |
|
In article <3b9600ed$0$599$d40e179e@nntp02.dk.telia.net>,
"Nezar Nielsen" <tumpen@fez.dk> wrote:
> Det vil jeg skyde på at du kan hos 9 ud af 10 webhoteller, desværre..
Du har nok desværre ret. Men hvis man restringere til seriøse
webhoteller, er tallet forhåbentlig 0 ud af 10.
> Hvis Apache skal have mulighed for at servere en bunke filer, skal den have
> læseadgang..
Ja - men der er jo ingen der siger, at fordi apache har læseadgang til
en fil, skal alle andre brugere også have det. Snarere tværtimod.
Og mysql config-filer (dvs. filer, hvor man skriver brugernavn, kodeord
og andre options) skal vel typisk ikke serveres i webspace 
/Jakob
| |
 Johan (05-09-2001)
| Kommentar
Fra : Johan |
Dato : 05-09-01 12:24 |
|
> Ja - men der er jo ingen der siger, at fordi apache har læseadgang til
> en fil, skal alle andre brugere også have det. Snarere tværtimod.
>
> Og mysql config-filer (dvs. filer, hvor man skriver brugernavn, kodeord
> og andre options) skal vel typisk ikke serveres i webspace
Det skal siges jeg kan læse ALLE filer på serverne...
Både filer i usr, etc osv. osv... så det kan være ligemeget om det ligger i
webscope...
mvh
Johan
| |
Lars (05-09-2001)
| Kommentar
Fra : Lars |
Dato : 05-09-01 12:41 |
|
> Det skal siges jeg kan læse ALLE filer på serverne...
> Både filer i usr, etc osv. osv... så det kan være ligemeget om det ligger
i
> webscope...
LOL - Den server er vist ikke sat ordentligt op så!
Godt det ikke er en ISP - hey... vent... nevermind ;)
--
---
Lars
http://wshlman.moons.dk/ - Say goodbye to GameSpy - Free alternative to
Half-Life users!
http://coder.dk/sohofaq.php - Uofficiel Tiscali SOHO FAQ
..: when mailing me, remember, there is no truth in my mail :.
| |
Johan (05-09-2001)
| Kommentar
Fra : Johan |
Dato : 05-09-01 12:49 |
|
> LOL - Den server er vist ikke sat ordentligt op så!
> Godt det ikke er en ISP - hey... vent... nevermind ;)
Har lige snakket med dem, og sendt dem scriptet... 
Men forventer nok desværre ikke en findeløn..  *G*
Men lad os se om fejlene bliver rettet, skal i hvert fald ikke have nogle af
mine avancerede systemer derud...
Iøvrigt... nogen der ved hvordan jeg står hvis de får lyst til at ligge sag
an mod mig? Har reelt gjort noget ulovligt da jeg har fundet en anden
brugeres password + brugernavn samt set brugerens script? men jeg må vel stå
ret godt eftersom jeg ikke har misbrugt det, og straks informerede dem om
fejlen/sikkerhedshullet!
mvh
Johan
| |
Thomas Jespersen (05-09-2001)
| Kommentar
Fra : Thomas Jespersen |
Dato : 05-09-01 13:01 |
|
"Johan" <tcr480@ofir.dk> writes:
> Iøvrigt... nogen der ved hvordan jeg står hvis de får lyst til at ligge sag
> an mod mig? Har reelt gjort noget ulovligt da jeg har fundet en anden
> brugeres password + brugernavn samt set brugerens script? men jeg må vel stå
> ret godt eftersom jeg ikke har misbrugt det, og straks informerede dem om
> fejlen/sikkerhedshullet!
Er det via en browser du kan se de ting ?
Hvis det er tilfældet kan de vel lade være med at putte det på WWW
hvis det ikke skal ses af andre ;)
Jeg er ikke så meget inde i jura, men jeg tror det kræver en god
dokumentation fra deres side, der kan bevise at du har brugt
oplysningerne til at bryde ind på deres system.
| |
Johan (05-09-2001)
| Kommentar
Fra : Johan |
Dato : 05-09-01 13:04 |
|
> Hvis det er tilfældet kan de vel lade være med at putte det på WWW
> hvis det ikke skal ses af andre ;)
Nej kan læse ALLE filer... ligemeget om det er i webscope eller ej!!
mvh
Johan
| |
Thomas Jespersen (05-09-2001)
| Kommentar
Fra : Thomas Jespersen |
Dato : 05-09-01 13:07 |
|
"Johan" <tcr480@ofir.dk> writes:
>
> Nej kan læse ALLE filer... ligemeget om det er i webscope eller ej!!
Ja, men mit spørgsmål var vel egentlig om du var kunde der og kunne se
filerne via en login-shell eller ftp, eller om du kunne omgå
et-eller-andet webscript på deres hotel og derved browse deres filer.
| |
Johan (05-09-2001)
| Kommentar
Fra : Johan |
Dato : 05-09-01 13:10 |
|
> Ja, men mit spørgsmål var vel egentlig om du var kunde der og kunne se
> filerne via en login-shell eller ftp, eller om du kunne omgå
> et-eller-andet webscript på deres hotel og derved browse deres filer.
Jeg kan browse mig frem til deres filer, og så kigge ind i dem, så jeg ser
sourcen... altså kan jeg se hvilke PHP funktioner de bruger osv.. Altså
scriptet bliver ikke ekskveret!
mvh
Johan
| |
Mickey (05-09-2001)
| Kommentar
Fra : Mickey |
Dato : 05-09-01 13:43 |
|
"Johan" <tcr480@ofir.dk> skrev i en meddelelse
news:9n54n5$gh5$1@sunsite.dk...
> Jeg kan browse mig frem til deres filer, og så kigge ind i dem, så jeg ser
> sourcen... altså kan jeg se hvilke PHP funktioner de bruger osv.. Altså
> scriptet bliver ikke ekskveret!
i din ftp klient eller vha et php-script ?
--
|-|$235-|)k - Mickey - Eko sum lapis
http://susie.dk/coderedworm.html
| |
Johan (05-09-2001)
| Kommentar
Fra : Johan |
Dato : 05-09-01 14:25 |
|
> i din ftp klient eller vha et php-script ?
Et script...
mvh
Johan
| |
Rasmus Christian Kaa~ (05-09-2001)
| Kommentar
Fra : Rasmus Christian Kaa~ |
Dato : 05-09-01 22:26 |
|
> > i din ftp klient eller vha et php-script ?
>
> Et script...
et serverside script, et ftp-script, et telnet script, et javascript?
fortæl.
| |
Mickey (05-09-2001)
| Kommentar
Fra : Mickey |
Dato : 05-09-01 23:35 |
|
"Rasmus Christian Kaae" <macaw@hotmail.com> skrev i en meddelelse
news:9n651i$25vj$1@news.cybercity.dk...
> et serverside script, et ftp-script, et telnet script, et javascript?
nu er vi jo i PHP gruppen, så vi må gå ud fra det er et php script...
--
|-|$235-|)k - Mickey - Eko sum lapis
http://susie.dk/coderedworm.html
| |
Johan (06-09-2001)
| Kommentar
Fra : Johan |
Dato : 06-09-01 08:16 |
|
> et serverside script, et ftp-script, et telnet script, et javascript?
> fortæl.
PHP script....
Med helt almindelige funktioner...
mvh
Johan
| |
Anders Johannsen (05-09-2001)
| Kommentar
Fra : Anders Johannsen |
Dato : 05-09-01 12:48 |
|
In article <tq1en8p001-27448C.13113505092001@sunsite.dk>, "Jakob Færch"
<tq1en8p001@sneakemail.com> wrote:
> Ja - men der er jo ingen der siger, at fordi apache har læseadgang til
> en fil, skal alle andre brugere også have det. Snarere tværtimod.
>
> Og mysql config-filer (dvs. filer, hvor man skriver brugernavn, kodeord
> og andre options) skal vel typisk ikke serveres i webspace
Hvis man har adgang til at få eksekveret kode som webserveren, så er
ovenstående forbehold da ligegyldige?
/A
| |
Mickey (05-09-2001)
| Kommentar
Fra : Mickey |
Dato : 05-09-01 13:07 |
|
"Anders Johannsen" <anders@ignition.dk> skrev i en meddelelse
news:pan.2001.09.05.13.47.33.44.12752@ignition.dk...
> Hvis man har adgang til at få eksekveret kode som webserveren, så er
> ovenstående forbehold da ligegyldige?
php i safemode ? - er det ikke nok ?
Hvis jeg beder php om at åbne /etc/passwd så får jeg at vide at
safemode-restrictions forbyder dette.
--
|-|$235-|)k - Mickey - Eko sum lapis
http://susie.dk/coderedworm.html
| |
Thor Dreier (05-09-2001)
| Kommentar
Fra : Thor Dreier |
Dato : 05-09-01 12:53 |
|
"Jakob Færch" <tq1en8p001@sneakemail.com> wrote in message
news:tq1en8p001-27448C.13113505092001@sunsite.dk...
> Ja - men der er jo ingen der siger, at fordi apache har læseadgang til
> en fil, skal alle andre brugere også have det. Snarere tværtimod.
Hvis Apache har læserettigheder til en fil, og man har rettigheder til at
eksekvere scripts fra Apache af, så er det da bare at skrive et script der
kan læse denne fil.
| |
Nezar Nielsen (05-09-2001)
| Kommentar
Fra : Nezar Nielsen |
Dato : 05-09-01 13:00 |
|
"Jakob Færch" <tq1en8p001@sneakemail.com> skrev i en meddelelse
news:tq1en8p001-27448C.13113505092001@sunsite.dk...
> > Det vil jeg skyde på at du kan hos 9 ud af 10 webhoteller, desværre..
>
> Du har nok desværre ret. Men hvis man restringere til seriøse
> webhoteller, er tallet forhåbentlig 0 ud af 10.
well... hvis vi snakker om bruger-adgang, så kan man chroot eller hvad det
nu hedder, så folk ikke har adgang men...(fortsættes)
> > Hvis Apache skal have mulighed for at servere en bunke filer, skal den
have
> > læseadgang..
>
> Ja - men der er jo ingen der siger, at fordi apache har læseadgang til
> en fil, skal alle andre brugere også have det. Snarere tværtimod.
(fortsat)...eftersom det nok er de allerfærreste steder, hvor apache kører
som den bruger der ejer det enkelte site, så kan man jo bare få apache til
at læse filerne i de andres sites for en..
--
Mvh. Nezar Nielsen
http://fez.dk/
| |
Michael Legart - Tis~ (06-09-2001)
| Kommentar
Fra : Michael Legart - Tis~ |
Dato : 06-09-01 22:36 |
|
Nezar Nielsen <tumpen@fez.dk> wrote:
> Hvis Apache skal have mulighed for at servere en bunke filer, skal den have
> læseadgang..
Nu kan man jo altså køre PHP i safemode, så man fra noget phpkode
kun kan læse filer der ejes af den bruger selve phpfilen ejes af.
På den måde kan den kunde hverken snuse rundt på serveren - eller
læse de andre burgeres filer.
Michael
| |
Nezar Nielsen (07-09-2001)
| Kommentar
Fra : Nezar Nielsen |
Dato : 07-09-01 02:14 |
|
"Michael Legart - Tiscali" <mlegart@dk.tiscali.com> wrote in message
news:U_Rl7.7469$sk1.188696@news010.worldonline.dk...
> Nezar Nielsen <tumpen@fez.dk> wrote:
>
> > Hvis Apache skal have mulighed for at servere en bunke filer, skal den
have
> > læseadgang..
>
> Nu kan man jo altså køre PHP i safemode, så man fra noget phpkode
> kun kan læse filer der ejes af den bruger selve phpfilen ejes af.
>
> På den måde kan den kunde hverken snuse rundt på serveren - eller
> læse de andre burgeres filer.
hvordan forhindrer man så følgende i en .cgi fil? (De fleste
discount-webhoteller der udbyder php, giver jo som regel også adgang til at
få .cgi (eller bare .pl) filer parset via cgi-handler):
#!/bin/sh
echo Content-type: text/html
echo
cat /sites/ www.secretpasswordsinplaintextfiles.com/allthepasswords.txt
?
--
Mvh. Nezar Nielsen
http://fez.dk/
| |
Thomas Jensen - pil.~ (07-09-2001)
| Kommentar
Fra : Thomas Jensen - pil.~ |
Dato : 07-09-01 06:21 |
|
On Thu, 06 Sep 2001 21:35:48 GMT, Michael Legart - Tiscali
<mlegart@dk.tiscali.com> wrote:
>Nezar Nielsen <tumpen@fez.dk> wrote:
>
>> Hvis Apache skal have mulighed for at servere en bunke filer, skal den have
>> læseadgang..
>
>Nu kan man jo altså køre PHP i safemode, så man fra noget phpkode
>kun kan læse filer der ejes af den bruger selve phpfilen ejes af.
>
>På den måde kan den kunde hverken snuse rundt på serveren - eller
>læse de andre burgeres filer.
de udbydere jeg kender som kører php i safemode, tilbyder også cgi...
og så er det hele eet fedt imho.
--
med venlig hilsen
Thomas Jensen
http://www.pil.dk/nyhedsbreve/2001august.php
| |
Thomas Jensen - pil.~ (07-09-2001)
| Kommentar
Fra : Thomas Jensen - pil.~ |
Dato : 07-09-01 06:33 |
|
On Fri, 07 Sep 2001 05:20:39 GMT, tj@dev.null (Thomas Jensen - pil.dk)
wrote:
>On Thu, 06 Sep 2001 21:35:48 GMT, Michael Legart - Tiscali
><mlegart@dk.tiscali.com> wrote:
>
>>Nezar Nielsen <tumpen@fez.dk> wrote:
>>
>>> Hvis Apache skal have mulighed for at servere en bunke filer, skal den have
>>> læseadgang..
>>
>>Nu kan man jo altså køre PHP i safemode, så man fra noget phpkode
>>kun kan læse filer der ejes af den bruger selve phpfilen ejes af.
>>
>>På den måde kan den kunde hverken snuse rundt på serveren - eller
>>læse de andre burgeres filer.
>
>de udbydere jeg kender som kører php i safemode, tilbyder også cgi...
>og så er det hele eet fedt imho.
refrase:
Jeg har set udbydere som både tilbyder php i safemode og cgi.. og så
er det hele eet fedt imho.
--
med venlig hilsen
Thomas Jensen
http://www.pil.dk/nyhedsbreve/2001august.php
| |
Michael Legart - Tis~ (08-09-2001)
| Kommentar
Fra : Michael Legart - Tis~ |
Dato : 08-09-01 11:14 |
|
Thomas Jensen - pil.dk <tj@dev.null> wrote:
> refrase:
> Jeg har set udbydere som både tilbyder php i safemode og cgi.. og så
> er det hele eet fedt imho.
Det er klart. Så skal der køre en Apache pr kunde - men det får
man næppe på billige hoteller. 
Michael
| |
Thïngmand (10-09-2001)
| Kommentar
Fra : Thïngmand |
Dato : 10-09-01 09:18 |
|
> Det er klart. Så skal der køre en Apache pr kunde - men det får
> man næppe på billige hoteller.
Gør der det på Tiscali webhotel III?
| |
Martin Mouritzen (05-09-2001)
| Kommentar
Fra : Martin Mouritzen |
Dato : 05-09-01 11:40 |
|
On Wed, 5 Sep 2001 11:52:37 +0200, "Johan" <tcr480@ofir.dk> wrote:
>Er det en fejl i PHP eller i opsætningen?
Opsætningen.
Skriv til dem.
--
Best Regards / Med Venlig Hilsen,
Guideix Martin Mouritzen Phone +45 43270524
Ringager 2A, 1. Systemudvikler Fax +45 43270556
DK-2605 Brøndby mm@guideix.com http://www.guideix.com
| |
Johan (05-09-2001)
| Kommentar
Fra : Johan |
Dato : 05-09-01 12:58 |
|
Jeg fik følgende svar fra Drift afdelingen i Azero:
Tak for din information. Det er dog et kendt "problem" at alle kan læse alt
på
unix, f.eks. ved brug af php og perl scripts. Dette kan dog kun gøres af
lokale
brugere, og det er iøvrigt ikke lovligt at kigge i andre folks filer. Det
kan
sidestilles med hacking.
Man kan med indstillinger af php og cgi sikre at folk kun kan se deres egne
filer, og det er netop sådan vores nyeste servere er lavet, se
http://azero.dk/support/unix under php og cgi. Grunden til at det ikke er
ændret
for "gamle" servere er at "det kan man ikke byde folk" da det kan kræve
gennemgang af folks kode/fil_rettigheder for at det virker igen.
Du kan uden omkostninger blive flyttet til en nyere server hvis du ønsker
det,
anvend formularen på http://support.azero.dk til at bede om dette.
Hmmm, hyggeligt de lader "gamle" kunder have et sådant sikkerhedshul som
betyder alle kan hygge deres script..... og de gør IKKE brugerne opmærksomme
på de findes, og man kan flyttes... DÅRLIG SERVICE!!!!
mvh
Johan
| |
Thïngmand (06-09-2001)
| Kommentar
Fra : Thïngmand |
Dato : 06-09-01 07:52 |
|
> Hmmm, hyggeligt de lader "gamle" kunder have et sådant sikkerhedshul som
> betyder alle kan hygge deres script..... og de gør IKKE brugerne
opmærksomme
> på de findes, og man kan flyttes... DÅRLIG SERVICE!!!!
Jeg har i hvert fald lige flyttet alle mine hoteller over på en af deres
såkaldte sikre servere
Tak for oplysningen!
| |
|
|