/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
SIKKERHEDSHUL... hos udbyder eller PHP????
Fra : Johan


Dato : 05-09-01 10:53

Hej...

Jeg sad og legede lidt, og fandt ud af at jeg på Azero's servere kan finde
ALLE password til MySQL for andre brugere.... hmmm det er vel IKKE så
godt?!?

Jeg kan læse alle filerne fra andre brugere på samme server som mig, og se i
deres mysql config filer, hvis de har en sådan.... så jeg kan reelt sidde og
legede som jeg har lyst?! Er det en fejl i PHP eller i opsætningen?

Jeg vil IKKE afsløre hvordan det gøres, da jeg er bange for det bliver
misbrugt...

mvh

Johan



 
 
Nezar Nielsen (05-09-2001)
Kommentar
Fra : Nezar Nielsen


Dato : 05-09-01 11:39

"Johan" <tcr480@ofir.dk> skrev i en meddelelse
news:3b95f5eb$0$233$edfadb0f@dspool01.news.tele.dk...
>
> Jeg kan læse alle filerne fra andre brugere på samme server som mig, og se
i
> deres mysql config filer, hvis de har en sådan.... så jeg kan reelt sidde
og
> legede som jeg har lyst?! Er det en fejl i PHP eller i opsætningen?
>

Det vil jeg skyde på at du kan hos 9 ud af 10 webhoteller, desværre..

Hvis Apache skal have mulighed for at servere en bunke filer, skal den have
læseadgang..

--
Mvh. Nezar Nielsen
http://fez.dk/




Jakob Færch (05-09-2001)
Kommentar
Fra : Jakob Færch


Dato : 05-09-01 12:12

In article <3b9600ed$0$599$d40e179e@nntp02.dk.telia.net>,
"Nezar Nielsen" <tumpen@fez.dk> wrote:

> Det vil jeg skyde på at du kan hos 9 ud af 10 webhoteller, desværre..

Du har nok desværre ret. Men hvis man restringere til seriøse
webhoteller, er tallet forhåbentlig 0 ud af 10.

> Hvis Apache skal have mulighed for at servere en bunke filer, skal den have
> læseadgang..

Ja - men der er jo ingen der siger, at fordi apache har læseadgang til
en fil, skal alle andre brugere også have det. Snarere tværtimod.

Og mysql config-filer (dvs. filer, hvor man skriver brugernavn, kodeord
og andre options) skal vel typisk ikke serveres i webspace

/Jakob

Johan (05-09-2001)
Kommentar
Fra : Johan


Dato : 05-09-01 12:24

> Ja - men der er jo ingen der siger, at fordi apache har læseadgang til
> en fil, skal alle andre brugere også have det. Snarere tværtimod.
>
> Og mysql config-filer (dvs. filer, hvor man skriver brugernavn, kodeord
> og andre options) skal vel typisk ikke serveres i webspace

Det skal siges jeg kan læse ALLE filer på serverne...
Både filer i usr, etc osv. osv... så det kan være ligemeget om det ligger i
webscope...

mvh

Johan



Lars (05-09-2001)
Kommentar
Fra : Lars


Dato : 05-09-01 12:41

> Det skal siges jeg kan læse ALLE filer på serverne...
> Både filer i usr, etc osv. osv... så det kan være ligemeget om det ligger
i
> webscope...

LOL - Den server er vist ikke sat ordentligt op så!
Godt det ikke er en ISP - hey... vent... nevermind ;)

--
---
Lars
http://wshlman.moons.dk/ - Say goodbye to GameSpy - Free alternative to
Half-Life users!
http://coder.dk/sohofaq.php - Uofficiel Tiscali SOHO FAQ
..: when mailing me, remember, there is no truth in my mail :.



Johan (05-09-2001)
Kommentar
Fra : Johan


Dato : 05-09-01 12:49

> LOL - Den server er vist ikke sat ordentligt op så!
> Godt det ikke er en ISP - hey... vent... nevermind ;)

Har lige snakket med dem, og sendt dem scriptet...
Men forventer nok desværre ikke en findeløn.. *G*

Men lad os se om fejlene bliver rettet, skal i hvert fald ikke have nogle af
mine avancerede systemer derud...

Iøvrigt... nogen der ved hvordan jeg står hvis de får lyst til at ligge sag
an mod mig? Har reelt gjort noget ulovligt da jeg har fundet en anden
brugeres password + brugernavn samt set brugerens script? men jeg må vel stå
ret godt eftersom jeg ikke har misbrugt det, og straks informerede dem om
fejlen/sikkerhedshullet!

mvh

Johan



Thomas Jespersen (05-09-2001)
Kommentar
Fra : Thomas Jespersen


Dato : 05-09-01 13:01

"Johan" <tcr480@ofir.dk> writes:

> Iøvrigt... nogen der ved hvordan jeg står hvis de får lyst til at ligge sag
> an mod mig? Har reelt gjort noget ulovligt da jeg har fundet en anden
> brugeres password + brugernavn samt set brugerens script? men jeg må vel stå
> ret godt eftersom jeg ikke har misbrugt det, og straks informerede dem om
> fejlen/sikkerhedshullet!

Er det via en browser du kan se de ting ?

Hvis det er tilfældet kan de vel lade være med at putte det på WWW
hvis det ikke skal ses af andre ;)

Jeg er ikke så meget inde i jura, men jeg tror det kræver en god
dokumentation fra deres side, der kan bevise at du har brugt
oplysningerne til at bryde ind på deres system.

Johan (05-09-2001)
Kommentar
Fra : Johan


Dato : 05-09-01 13:04

> Hvis det er tilfældet kan de vel lade være med at putte det på WWW
> hvis det ikke skal ses af andre ;)

Nej kan læse ALLE filer... ligemeget om det er i webscope eller ej!!

mvh

Johan



Thomas Jespersen (05-09-2001)
Kommentar
Fra : Thomas Jespersen


Dato : 05-09-01 13:07

"Johan" <tcr480@ofir.dk> writes:

>
> Nej kan læse ALLE filer... ligemeget om det er i webscope eller ej!!

Ja, men mit spørgsmål var vel egentlig om du var kunde der og kunne se
filerne via en login-shell eller ftp, eller om du kunne omgå
et-eller-andet webscript på deres hotel og derved browse deres filer.

Johan (05-09-2001)
Kommentar
Fra : Johan


Dato : 05-09-01 13:10

> Ja, men mit spørgsmål var vel egentlig om du var kunde der og kunne se
> filerne via en login-shell eller ftp, eller om du kunne omgå
> et-eller-andet webscript på deres hotel og derved browse deres filer.

Jeg kan browse mig frem til deres filer, og så kigge ind i dem, så jeg ser
sourcen... altså kan jeg se hvilke PHP funktioner de bruger osv.. Altså
scriptet bliver ikke ekskveret!

mvh

Johan



Mickey (05-09-2001)
Kommentar
Fra : Mickey


Dato : 05-09-01 13:43

"Johan" <tcr480@ofir.dk> skrev i en meddelelse
news:9n54n5$gh5$1@sunsite.dk...

> Jeg kan browse mig frem til deres filer, og så kigge ind i dem, så jeg ser
> sourcen... altså kan jeg se hvilke PHP funktioner de bruger osv.. Altså
> scriptet bliver ikke ekskveret!

i din ftp klient eller vha et php-script ?


--
|-|$235-|)k - Mickey - Eko sum lapis
http://susie.dk/coderedworm.html



Johan (05-09-2001)
Kommentar
Fra : Johan


Dato : 05-09-01 14:25

> i din ftp klient eller vha et php-script ?

Et script...

mvh

Johan



Rasmus Christian Kaa~ (05-09-2001)
Kommentar
Fra : Rasmus Christian Kaa~


Dato : 05-09-01 22:26

> > i din ftp klient eller vha et php-script ?
>
> Et script...

et serverside script, et ftp-script, et telnet script, et javascript?
fortæl.



Mickey (05-09-2001)
Kommentar
Fra : Mickey


Dato : 05-09-01 23:35

"Rasmus Christian Kaae" <macaw@hotmail.com> skrev i en meddelelse
news:9n651i$25vj$1@news.cybercity.dk...

> et serverside script, et ftp-script, et telnet script, et javascript?

nu er vi jo i PHP gruppen, så vi må gå ud fra det er et php script...


--
|-|$235-|)k - Mickey - Eko sum lapis
http://susie.dk/coderedworm.html



Johan (06-09-2001)
Kommentar
Fra : Johan


Dato : 06-09-01 08:16

> et serverside script, et ftp-script, et telnet script, et javascript?
> fortæl.

PHP script....
Med helt almindelige funktioner...

mvh

Johan



Anders Johannsen (05-09-2001)
Kommentar
Fra : Anders Johannsen


Dato : 05-09-01 12:48

In article <tq1en8p001-27448C.13113505092001@sunsite.dk>, "Jakob Færch"
<tq1en8p001@sneakemail.com> wrote:

> Ja - men der er jo ingen der siger, at fordi apache har læseadgang til
> en fil, skal alle andre brugere også have det. Snarere tværtimod.
>
> Og mysql config-filer (dvs. filer, hvor man skriver brugernavn, kodeord
> og andre options) skal vel typisk ikke serveres i webspace

Hvis man har adgang til at få eksekveret kode som webserveren, så er
ovenstående forbehold da ligegyldige?

/A

Mickey (05-09-2001)
Kommentar
Fra : Mickey


Dato : 05-09-01 13:07

"Anders Johannsen" <anders@ignition.dk> skrev i en meddelelse
news:pan.2001.09.05.13.47.33.44.12752@ignition.dk...

> Hvis man har adgang til at få eksekveret kode som webserveren, så er
> ovenstående forbehold da ligegyldige?

php i safemode ? - er det ikke nok ?

Hvis jeg beder php om at åbne /etc/passwd så får jeg at vide at
safemode-restrictions forbyder dette.

--
|-|$235-|)k - Mickey - Eko sum lapis
http://susie.dk/coderedworm.html



Thor Dreier (05-09-2001)
Kommentar
Fra : Thor Dreier


Dato : 05-09-01 12:53

"Jakob Færch" <tq1en8p001@sneakemail.com> wrote in message
news:tq1en8p001-27448C.13113505092001@sunsite.dk...
> Ja - men der er jo ingen der siger, at fordi apache har læseadgang til
> en fil, skal alle andre brugere også have det. Snarere tværtimod.

Hvis Apache har læserettigheder til en fil, og man har rettigheder til at
eksekvere scripts fra Apache af, så er det da bare at skrive et script der
kan læse denne fil.



Nezar Nielsen (05-09-2001)
Kommentar
Fra : Nezar Nielsen


Dato : 05-09-01 13:00

"Jakob Færch" <tq1en8p001@sneakemail.com> skrev i en meddelelse
news:tq1en8p001-27448C.13113505092001@sunsite.dk...
> > Det vil jeg skyde på at du kan hos 9 ud af 10 webhoteller, desværre..
>
> Du har nok desværre ret. Men hvis man restringere til seriøse
> webhoteller, er tallet forhåbentlig 0 ud af 10.

well... hvis vi snakker om bruger-adgang, så kan man chroot eller hvad det
nu hedder, så folk ikke har adgang men...(fortsættes)

> > Hvis Apache skal have mulighed for at servere en bunke filer, skal den
have
> > læseadgang..
>
> Ja - men der er jo ingen der siger, at fordi apache har læseadgang til
> en fil, skal alle andre brugere også have det. Snarere tværtimod.

(fortsat)...eftersom det nok er de allerfærreste steder, hvor apache kører
som den bruger der ejer det enkelte site, så kan man jo bare få apache til
at læse filerne i de andres sites for en..

--
Mvh. Nezar Nielsen
http://fez.dk/




Michael Legart - Tis~ (06-09-2001)
Kommentar
Fra : Michael Legart - Tis~


Dato : 06-09-01 22:36

Nezar Nielsen <tumpen@fez.dk> wrote:

> Hvis Apache skal have mulighed for at servere en bunke filer, skal den have
> læseadgang..

Nu kan man jo altså køre PHP i safemode, så man fra noget phpkode
kun kan læse filer der ejes af den bruger selve phpfilen ejes af.

På den måde kan den kunde hverken snuse rundt på serveren - eller
læse de andre burgeres filer.

Michael

Nezar Nielsen (07-09-2001)
Kommentar
Fra : Nezar Nielsen


Dato : 07-09-01 02:14

"Michael Legart - Tiscali" <mlegart@dk.tiscali.com> wrote in message
news:U_Rl7.7469$sk1.188696@news010.worldonline.dk...
> Nezar Nielsen <tumpen@fez.dk> wrote:
>
> > Hvis Apache skal have mulighed for at servere en bunke filer, skal den
have
> > læseadgang..
>
> Nu kan man jo altså køre PHP i safemode, så man fra noget phpkode
> kun kan læse filer der ejes af den bruger selve phpfilen ejes af.
>
> På den måde kan den kunde hverken snuse rundt på serveren - eller
> læse de andre burgeres filer.

hvordan forhindrer man så følgende i en .cgi fil? (De fleste
discount-webhoteller der udbyder php, giver jo som regel også adgang til at
få .cgi (eller bare .pl) filer parset via cgi-handler):

#!/bin/sh
echo Content-type: text/html
echo
cat /sites/www.secretpasswordsinplaintextfiles.com/allthepasswords.txt

?

--
Mvh. Nezar Nielsen
http://fez.dk/




Thomas Jensen - pil.~ (07-09-2001)
Kommentar
Fra : Thomas Jensen - pil.~


Dato : 07-09-01 06:21

On Thu, 06 Sep 2001 21:35:48 GMT, Michael Legart - Tiscali
<mlegart@dk.tiscali.com> wrote:

>Nezar Nielsen <tumpen@fez.dk> wrote:
>
>> Hvis Apache skal have mulighed for at servere en bunke filer, skal den have
>> læseadgang..
>
>Nu kan man jo altså køre PHP i safemode, så man fra noget phpkode
>kun kan læse filer der ejes af den bruger selve phpfilen ejes af.
>
>På den måde kan den kunde hverken snuse rundt på serveren - eller
>læse de andre burgeres filer.

de udbydere jeg kender som kører php i safemode, tilbyder også cgi...
og så er det hele eet fedt imho.

--
med venlig hilsen
Thomas Jensen
http://www.pil.dk/nyhedsbreve/2001august.php

Thomas Jensen - pil.~ (07-09-2001)
Kommentar
Fra : Thomas Jensen - pil.~


Dato : 07-09-01 06:33

On Fri, 07 Sep 2001 05:20:39 GMT, tj@dev.null (Thomas Jensen - pil.dk)
wrote:

>On Thu, 06 Sep 2001 21:35:48 GMT, Michael Legart - Tiscali
><mlegart@dk.tiscali.com> wrote:
>
>>Nezar Nielsen <tumpen@fez.dk> wrote:
>>
>>> Hvis Apache skal have mulighed for at servere en bunke filer, skal den have
>>> læseadgang..
>>
>>Nu kan man jo altså køre PHP i safemode, så man fra noget phpkode
>>kun kan læse filer der ejes af den bruger selve phpfilen ejes af.
>>
>>På den måde kan den kunde hverken snuse rundt på serveren - eller
>>læse de andre burgeres filer.
>
>de udbydere jeg kender som kører php i safemode, tilbyder også cgi...
>og så er det hele eet fedt imho.

refrase:
Jeg har set udbydere som både tilbyder php i safemode og cgi.. og så
er det hele eet fedt imho.

--
med venlig hilsen
Thomas Jensen
http://www.pil.dk/nyhedsbreve/2001august.php

Michael Legart - Tis~ (08-09-2001)
Kommentar
Fra : Michael Legart - Tis~


Dato : 08-09-01 11:14

Thomas Jensen - pil.dk <tj@dev.null> wrote:

> refrase:
> Jeg har set udbydere som både tilbyder php i safemode og cgi.. og så
> er det hele eet fedt imho.

Det er klart. Så skal der køre en Apache pr kunde - men det får
man næppe på billige hoteller.

Michael

Thïngmand (10-09-2001)
Kommentar
Fra : Thïngmand


Dato : 10-09-01 09:18

> Det er klart. Så skal der køre en Apache pr kunde - men det får
> man næppe på billige hoteller.

Gør der det på Tiscali webhotel III?



Martin Mouritzen (05-09-2001)
Kommentar
Fra : Martin Mouritzen


Dato : 05-09-01 11:40

On Wed, 5 Sep 2001 11:52:37 +0200, "Johan" <tcr480@ofir.dk> wrote:

>Er det en fejl i PHP eller i opsætningen?

Opsætningen.
Skriv til dem.
--
Best Regards / Med Venlig Hilsen,
Guideix Martin Mouritzen Phone +45 43270524
Ringager 2A, 1. Systemudvikler Fax +45 43270556
DK-2605 Brøndby mm@guideix.com http://www.guideix.com

Johan (05-09-2001)
Kommentar
Fra : Johan


Dato : 05-09-01 12:58

Jeg fik følgende svar fra Drift afdelingen i Azero:
Tak for din information. Det er dog et kendt "problem" at alle kan læse alt

unix, f.eks. ved brug af php og perl scripts. Dette kan dog kun gøres af
lokale
brugere, og det er iøvrigt ikke lovligt at kigge i andre folks filer. Det
kan
sidestilles med hacking.


Man kan med indstillinger af php og cgi sikre at folk kun kan se deres egne
filer, og det er netop sådan vores nyeste servere er lavet, se
http://azero.dk/support/unix under php og cgi. Grunden til at det ikke er
ændret
for "gamle" servere er at "det kan man ikke byde folk" da det kan kræve
gennemgang af folks kode/fil_rettigheder for at det virker igen.


Du kan uden omkostninger blive flyttet til en nyere server hvis du ønsker
det,
anvend formularen på http://support.azero.dk til at bede om dette.




Hmmm, hyggeligt de lader "gamle" kunder have et sådant sikkerhedshul som
betyder alle kan hygge deres script..... og de gør IKKE brugerne opmærksomme
på de findes, og man kan flyttes... DÅRLIG SERVICE!!!!



mvh

Johan




Thïngmand (06-09-2001)
Kommentar
Fra : Thïngmand


Dato : 06-09-01 07:52

> Hmmm, hyggeligt de lader "gamle" kunder have et sådant sikkerhedshul som
> betyder alle kan hygge deres script..... og de gør IKKE brugerne
opmærksomme
> på de findes, og man kan flyttes... DÅRLIG SERVICE!!!!

Jeg har i hvert fald lige flyttet alle mine hoteller over på en af deres
såkaldte sikre servere

Tak for oplysningen!



Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408942
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste