Permessi 777: cosa si rischia?

**skidx** · 11-01-2005, 18:34

Come da titolo.
Sto litigando con la configurazione di un server, riesco a far girare un certo script solo se la directory che contiene il sito ha permessi 777.

Siccome di questioni di sicurezza e permessi mi intendo poco e niente, chiedo a voi:
quali sono i rischi di una permesso di scrittura esteso a tutti?

**drAlberT** · 11-01-2005, 18:39

ogni sorta di male, specie se tale dir è sotto la document_root ...

**skidx** · 11-01-2005, 18:40

Originariamente inviato da drAlberT
ogni sorta di male

Non mi è di grande aiuto, detta così.

Devo valutare se ne vale la pena oppure no, mi servirebbe qualcosa di più "tecnico".

La cartella è dentro la document_root, sì.

**drAlberT** · 11-01-2005, 18:47

potrei:

- salvare files in quella dir per poi eseguire dei warm, degli eggdrop ed ogni genere di file
- fare un exec che mi scandagli il FS e salvare l'output in un file che poi mi leggo da browser
- fare exec di cat e altri binari per spunciarmi ogni file che sia leggibile da apache e leggermelo con calma
- insomma ogni possibile vulnerabilità di ogni tuo script avrà un luogo in + dove poter storare i suoi output e risultati, coll'aggravante che poi non servirà una altra vulnerabilità per leggerli, perchè sono nella docroot

**skidx** · 11-01-2005, 18:49

ok, ma mi sfugge il soggetto del verbo "potrei".

CHI può abusare di questa situazione?
Di sicuro non l'utente web col suo browserino.

Chi può scriverci? Gli altri utenti ospitati sul mio server?

**drAlberT** · 11-01-2005, 19:06

l'utente web col suo browserino !!!

ovviamente aiutato da una *eventuale* falla in uno script PHP del sito che permetta una qualche esecuzione di codice per mancata validazione dei dati utente ... il rischio non è poco

Discussione: Permessi 777: cosa si rischia?

Strumenti discussione

Ricerca discussione

Visualizza

Permessi 777: cosa si rischia?

Permessi di invio