[grinditwp]

Tjena,
har funderat på en sak på senaste.

Om man har ett scripts om laddar upp, t.ex. bilder till en mapp på servern, t.ex public_html/bildscript/bilder/
så brukar jag sätta chmod 777 på public_html/bildscript/bilder/ för att ge skrivrättigheter åt scriptet och använadren för att ladda upp. Logiskt? inte sant?

Finns det några risker med att ge en mapp chmod 777? Alltså full skriv- och läsrättighet?

Hur skall man göra det säkrare?
Har man inte ftp-login/lösenord till ftpn kan man väll ändå inte redigera materialet?

Alla servrar tillåter inte chmod via php, så det är inte alltid man kan öppna/stänga rättigheterna vid arbete.

Skriv gärna lite tips, vad man skall tänka på osv, gärna lite bra läsvärt material också.

Tacksam för lite vägledning.

[tartareandesire]

Så länge du inte har några märkliga kryphål i koden så ska det inte vara några problem. Du sätter ju också bara rättigheterna på just den mappen. Har aldrig varit med om att chmod inte tillåts men det finns säkert några taskiga budgethotell som jag inte testat =)

[Innocast]

Känner jag till den exakta adressen till din katalog kan jag skapa en PHP fil som gör diverse onda saker Detta förutsätter att det är ett delat webbhotell. Vet att Levonline hade det problem för några månader sedan.

[eliasson]

Citat:

Originally posted by Subcura@May 19 2008, 13:00
Känner jag till den exakta adressen till din katalog kan jag skapa en PHP fil som gör diverse onda saker.

Det förusäger även att du kan placera en PHP-fil där.

[grinditwp]

Citat:

Ursprungligen postat av eliasson

Citat:

Det förusäger även att du kan placera en PHP-fil där.

Ja måste personen i frågan inte ha FTP-tillgång, eller tillgång till samma deladewebbhotell och typ linux-bash?
Alternativt att man som webbprogramerare klantat sig och tillåter uppladdning av filer till mappen via något script.

Men låt oss säga att jag ligger på en egen webbserver. Ingen annan har FTP eller Bash tillgång. DÅ är det väll inga direkta faror?

[Magnus_A]

Faran ligger i om apache eller om någon av dina webbapplikationer blir hackade. Då kan de börja skriva i webbmappen och därigenom underlätta en bredare attack. I och för sig är inte skrivrättigheterna ett absolut skydd, men det kan säkert hjälpa till att avvärja en attack.

[KarlRoos]

Man bör köra 655 har jag för mig

[ZN]

Försök begränsa det mer, är det t.ex bara webbservern som behöver skriva filer så sätter du ägaren på katalogen till apache och sedan chmoddar 755 istället.

[Magnus_A]

Citat:

Originally posted by ZN@May 21 2008, 06:27
Försök begränsa det mer, är det t.ex bara webbservern som behöver skriva filer så sätter du ägaren på katalogen till apache och sedan chmoddar 755 istället.

Saker som användare laddar upp är onda ända tills du har gått igenom dem och verifierat de som ofarliga. Den katalog de hamnar i får inte nås utifrån via webben.

[Mortekai]

Att sätta en katalog till 777 är ingen bra idé och i samband med möjlighet att ladda upp filer till den katalogen är det möjligt för en hacker att ladda upp otyg (tex manipulerade gif filer) och sedan penetrera ditt konto och vidare in i servern. Om man också har en servermiljö där alla filer kör som nobody, dvs utan ägare så är det lite som att kasta ner en skorpion i kalsongerna...för det mesta så går det bra, men har du otur så känns det...rejält.

Det finns många olika sätt att undvika problemet med chmod med för öppna rättigheter och det vanligaste är en setup där varje fil knyts till dom konton som finns och att man separerar alla konton så ingen kan djupare in i servern än vad dom ska samt en begränsning på chmod så att det inte går att sätta högre rättigheter än 755 på kataloger och 644 för filer som till exempel phpsuexec som du kan läsa lite kort om här: http://codylindley.com/Misc/74/server-secu...ec--textpattern

Av alla dom sidor som jag brukar kontakta angående diverse busförsök mot min server så skulle jag säga att 99% har blivit hackade genom just chmod problem i kombination med osäkra och dåligt uppdaterade skript. Bara i år har jag noterat omkring 500 olika webbkonton som har blivit hackade och som sedan har försökt med olika bus utan deras ägares vetskap