Mi hanno bucato il server

[nobadguy]

Ho trovato la falla:

http://www.***.it/index.php?m=../../.../../etc/passwd

questo restituisce tutti gli utenti del server, non le password, ma credo non vada bene.

come ovvio?

Il sito non l'ho fatto io! Ma so chi è il webmaster.

QUESTO COMPORTAMENTO PUò ESSERE EVITATO CON UNA OPPORTUNA PATCH DEL SERVER?

[nobadguy]

Ho avvisato il webmaster (??) e gli ho fatto applicare una patch nello script per evitare questo errore.

Ma esiste un'impostazione del server che possa evitarlo a prescindere? Cioè qualche opzione di sicurezza?

quello che volgio dire, se io mettessi quella pagina sul server di html, avrebbero lo stesso problema?

[Habanero]

soluzioni ne esistono diverse.. fare un chroot del server ad esempio e configurare bene Apache
http://httpd.apache.org/docs/1.3/mis...rity_tips.html
i problemi nascono se l'accesso al file system avviene con diritti di root...

[nobadguy]

e già!
ma come posso evitare questo?
Ho letto il link che mi hai indicato, ma non sono abbastanza capace di fare quelle modifiche!

[Habanero]

soluzioni ne esistono a vari livelli... e non so se sia qui il posto migliore per parlarne. Forse troverai un aiuto migliore nel forum Apache.

La soluzione più bovina per quando riguarda il php è impostare nel file di configurazione di PHP la voce open_basedir alla root del server www. In questo modo eventuali open non potranno scalare all'indietro tale percorso. I file di sistema non saranno quindi raggiungibili. Questa non è ovviamente una panacea perchè sarà comunque possibile attravarsare i siti dei vari utenti. Se un sito è vulnearbile sarà comunque possibile accedere ai file di altri siti presenti sullo stesso web server.

La cosa migliore sarebbe impostare dei limiti su ogni virtual server.. ma come ho già detto forse è meglio chiedere direttamente nel forum Apache.

[Habanero]

ho appena scoperto che la direttiva open_basedir di php può essere inserita nella configurazione dei singoli virtualhost nella configurazione di Apache. Questo significa che puoi definire una basedir per ogni singolo sito.

Nel tuo httpd.conf ad esempio avrai la definizione dei virtual server...

<VirtualHost *:80>
ServerAdmin webmaster@sito1
DocumentRoot /www/sito1
ServerName sito1
ErrorLog logs/sito1-error_log
CustomLog logs/sito1-access_log common
php_admin_value open_basedir "/www/sito1"
</VirtualHost>

<VirtualHost *:80>
ServerAdmin webmaster@sito2
DocumentRoot /www/sito2
ServerName sito2
ErrorLog logs/sito2-error_log
CustomLog logs/sito2-access_log common
php_admin_value open_basedir "/www/sito2"
</VirtualHost>

<VirtualHost *:80>
ServerAdmin webmaster@sito3
DocumentRoot /www/sito3
ServerName sito3
ErrorLog logs/sito3-error_log
CustomLog logs/sito3-access_log common
php_admin_value open_basedir "/www/sito3"
</VirtualHost>


Questo dovrebbe risolvere il tuo problema alla radice, eventuali open o istruzioni che facciano riferimento al file system saranno limitate alla radice del sito stesso.

[nobadguy]

Lo metto proprio come lo hai scritto tu, tra gli apici?

[Habanero]

Originariamente inviato da nobadguy
Lo metto proprio come lo hai scritto tu, tra gli apici?

dovrebbe essere indifferente.

[Habanero]

dimenticavo... nei percorsi permessi ti conviene includere anche la cartella dei file temporanei altrimenti rischi che non ti funzionino le sessioni (in tal caso session_start() restituisce un errore perchè non riesce a scrivere la sessione)

php_admin_value open_basedir "/www/sito:/tmp"

sotto linux i percorsi in open_basedir vanno separati da un ':'

[nobadguy]