/home/services
Artur Skura
arturs-pld w ies.waw.pl
Pon, 2 Cze 2003, 14:35:12 CEST
On Mon, Jun 02, 2003 at 01:57:43PM +0200, Tomasz Kłoczko wrote:
> On Mon, 2 Jun 2003, Jacek Konieczny wrote:
>
> > On Mon, Jun 02, 2003 at 03:31:04AM +0200, Paweł Gołaszewski wrote:
> > > On Sun, 1 Jun 2003, Tomek Orzechowski wrote:
> > > > To, że w /home/services znajdują się zasoby serwowane po HTTP i FTP jest
> > > > pomyłką, która trzeba naprawić (tzn. przerzucić ww. zasoby do /var/lib i
> > > > /usr/lib (w przypadku kodu aplikacji webowych, IHMO)).
> > >
> > > Tak, tylko, że tutaj jest taki problem, że aplikacje web-owe w ogromnej
> > > większości mają pliki konfiguracyjne w katalogu bierzącym.
> >
> > W tym udostępnionym przez HTTP? To z taką aplikacją od razu na
> > /dev/drzewo, nawet jeśli jakiś .htaccess czy coś podobnego tam jest -
> > jak ktoś robi takie podstawowe błędy, to jego aplikacji ufać nie
> > można.
>
> Jacek widzisz jakieś ogólne rozwiazanie na tego typu przypadłości ?
Niedawno /. opublikował interesujący wywiad z Fyodorem.
http://interviews.slashdot.org/article.pl?sid=03/05/30/1148235&mode=thread&tid=126&tid=172&tid=95
Pytanie czwarte dotyczyło rozpoczęcia "kariery" speca od bezpieczeństwa.
Fyodor odpowiedział bardzo obszernie, ale znamienny kawałek dotyczy
wysyłania swoich pierwszych odkryć błędów na BugTraq:
**
Now that you've seen and understand a wide variety of software
vulnerabilities from your Bugtraq research, start finding your own. You
can start by downloading any PHP app from Sourceforge. Most of those are
hopelessly vulnerable to Cross-Site-Scripting, SQL injection, and/or
remote code execution by "remote include" directives.
**
Prawda jest taka, że nawet te powszechnie używane, czyli zdawałoby się
zweryfikowane ze wszystkich stron typu *Nuke mają co jakiś czas poważne
błędy, zaś ogromna większość reszty jest napisana fatalnie. Np. w
ostatnim Software "hacking" w artykule o podstawowych błędach robionych
przez autorów skryptów PHP podano przykład sklep.7thguard.net.
Przed czymś takim nie da się zabezpieczyć, nawet najbardziej
restrykcyjna konfiguracja Apache, PHP i serwerów bazy niewiele pomoże.
Ale jeśli ktoś instaluje popularne aplikacje PHP, chyba zdaje sobie
sprawę z tego ryzyka...
Pozdrowienia,
Artur
Więcej informacji o liście dyskusyjnej pld-devel-pl