Lexa Software: Apache-Talk@lists.lexa.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: Apache-Talk

Apache-Talk mailing list archive (apache-talk@lists.lexa.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [apache-talk] SSI & security

To: apache-talk@lists.lexa.ru
Subject: Re: [apache-talk] SSI & security
From: Eugene Grosbein <eugen@svzserv.kemerovo.su>
Date: Fri, 12 Oct 2001 10:18:42 +0800
Organization: SVZServ
References: <Pine.LNX.4.32.0110111841570.3777-100000@ns.rstlib.nsc.ru> <1859196209.20011011174557@void.ru>

void@void.ru wrote:
> 
> Приветствую, многоуважаемый All !
> 
> >> > > --------------------------------------------
> >> > > ...... Поймите, на боевом сайте и SSI не будет - все это
> >> > > проламывается просто на счет раз.
> >> > > --------------------------------------------
> 
> похоже, данные слова сказаны не слишком осведомлённым человеком. Любой
> интерактив пользователя с системой влечёт за собой возрастание рисков,
> любая автоматизация представляет собой процесс,когда разработчик
> доверяет системе процесс выполнения какой-то работе, и с некоторой
> вероятностью считает, что пользователь не сможет развернуть ход
> штатной работы на рельсы, не предусмотренные разработчиком ? системе,
> естественно, всё равно - что <!--#include file=" - ./content.html или
> /some/file/out/docroot.. после этого игра с Apache Server Side
> Includes, которые ходят из-под nobody или из-под user'a через suexec
> оканчивается и переходит
> в стадию игры с системой - пока, правда, на уровне сбора информации а
> не на уровне отдачи директив, если не забыли поставить IncludesNoEXEC
> на папку с ssi.. если кривы руки у админа, то "товарищ ксакеп"
> наберётся информации о том, что ещё стоит на этой системе, какие
> сервисы бегают от рута, какие у них конфигурации и тут уже остаётся
> только богу молится чтобы они свежими оказались и ксакеп пока с
> багтрака эксплоитов не накачал.. а если по уму сделано, и админ
> подстраховался от тупого веб-писателя, то ксакеп будет ползать по
> jail(8) не понимая что с ним происходит и куда он вообще попал..

По-моему, это дезинформация. При помощи IncludesNoExec эскплорать
диски не получится.

An attribute defines the location of the document; the inclusion is done for
each attribute given to the include command.
     The valid attributes are: 
     file 
          The value is a path relative to the directory containing the current
document being parsed. It cannot contain ../,
          nor can it be an absolute path. The virtual attribute should always
be used in preference to this one. 
     virtual 
          The value is a (%-encoded) URL relative to the current document
being parsed. The URL cannot contain a
          scheme or hostname, only a path and an optional query string. If it
does not begin with a slash (/) then it is taken to
          be relative to the current document.
=============================================================================
=               Apache-Talk@lists.lexa.ru mailing list                      =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
=       Archive avaliable at http://www.lexa.ru/apache-talk                 =

References:
- Re: [apache-talk] SSI & security
  - From: Ilya Basalaev
- Re[2]: [apache-talk] SSI & security
  - From: void

Prev by Date: Re[2]: [apache-talk] SSI & security
Next by Date: Re: [apache-talk] Apache 2.0
Previous by thread: Re[2]: [apache-talk] SSI & security
Next by thread: Re[2]: [apache-talk] SSI & security
Index(es):
- Date
- Thread