abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

    dnes 14:44 | Zajímavý článek

    Michal Strehovský na svých stránkách píše jak v C# vytvořit "bootovací hru" pro Raspberry Pi, tj. hru, která nepotřebuje operační systém (bare-metal). Zdrojové kódy jsou na GitHubu.

    Ladislav Hagara | Komentářů: 1
    dnes 14:11 | Humor

    Greg Kroah-Hartman vydal Linux 6.6.6 (LKML) aneb Linux s číslem šelmy. Řeší regresi ve Wi-Fi.

    Ladislav Hagara | Komentářů: 2
    dnes 13:11 | Nová verze

    Debian 12.3 byl kvůli chybě v jádře 6.1.64-1 nakonec přeskočen. Vydán byl rovnou Debian 12.4.

    Ladislav Hagara | Komentářů: 5
    včera 13:00 | IT novinky

    Počítačové hře Doom je dnes 30 let. Vydána byla 10. prosince 1993. Zahrát si ji lze také na Internet Archive.

    Ladislav Hagara | Komentářů: 13
    včera 02:11 | Komunita

    V srpnu společnost HashiCorp přelicencovala "své produkty" Terraform, Packer, Vault, Boundary, Consul, Nomad a Waypoint z MPL a Vagrant z MIT na BSL (Business Source License). V září byl představen svobodný a otevřený fork Terraformu s názvem OpenTofu. Na konferenci Open Source Summit Japan 2023 byl představen (YouTube) svobodný a otevřený fork Vaultu s názvem OpenBao (GitHub).

    Ladislav Hagara | Komentářů: 6
    9.12. 21:44 | Komunita

    Na dnes plánované vydání Debianu 12.3 bylo posunuto. V jádře 6.1.64-1 v souborovém systému ext4 je chyba #1057843 vedoucí k možnému poškození dat.

    Ladislav Hagara | Komentářů: 19
    9.12. 14:11 | Komunita

    Na čem aktuálně pracují vývojáři GNOME a KDE? Pravidelný přehled novinek i s náhledy aplikací v Týden v GNOME a Týden v KDE.

    Ladislav Hagara | Komentářů: 0
    9.12. 03:11 | Humor

    Tak od ledna linuxové terminály, výchozí pozadí i celé desktopy v barvě "broskvového chmýří", v barvě "jejíž všeobjímající duch obohacuje mysl, tělo i srdce". Barvou roku 2024 je PANTONE 13-1023 Peach Fuzz.

    Ladislav Hagara | Komentářů: 19
    8.12. 21:44 | Nová verze

    Byla vydána verze 10 linuxové distribuce Freespire (Wikipedie). Jedná se o bezplatnou linuxovou distribuci vyvíjenou společností PC/OpenSystems LLC stojící za komerční distribucí Linspire (Wikipedie), původně Lindows.

    Ladislav Hagara | Komentářů: 2
    8.12. 15:44 | Bezpečnostní upozornění

    Binarly REsearch před týdnem informoval o kritických zranitelnostech UEFI souhrnně pojmenovaných LogoFAIL. Tento týden doplnil podrobnosti. Útočník může nahradit logo zobrazováno při bootování vlastním speciálně upraveným obrázkem, jehož "zobrazení" při bootování spustí připravený kód. Pětiminutové povídání o LogoFAIL a ukázka útoku na YouTube.

    Ladislav Hagara | Komentářů: 5
     (41%)
     (9%)
     (50%)
    Celkem 116 hlasů
     Komentářů: 2, poslední 6.12. 22:12
    Rozcestník

    Dotaz: PHP funkce nebezpečné pro webový server

    14.12.2009 21:04 happymaster23 | skóre: 9
    PHP funkce nebezpečné pro webový server
    Přečteno: 512×
    Zdravím,

    hledal jsem nějaký seznam funkcí, které můžou být nebezpečné pro samotný webový server, to znamená, že jich může zneužít sám uživatel (ten co může přímo nahrávat skripty) a nebo že pomocí nich může být napaden samotný webserver (nikoliv uživatelův prostor - to není můj problém). Našel jsem toho celkem hodně, co by se mělo zakázat, nicméně u spousty (alespoň pokud chápu správně jejich popis) se jedná pouze o možnost ohrožení uživatelských dat, nikoliv webserveru a nebo ostatních uživatelů.

    Z tohoto seznamu: apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode

    Jsem vybral jako pro server nebezpečné exec, escapeshellarg, escapeshellcmd, passthru, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, system, pcntl_exec, define_syslog_variables, ini_set, open_log, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, ini_alter a chci se vás zeptat, jestli by jste do tohoto seznamu ještě něco přidali a nebo naopak ubrali.

    Díky moc za odpovědi

    Odpovědi

    AraxoN avatar 14.12.2009 23:26 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
    Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server
    Mám poznámku k týmto dvom: escapeshellarg() a escapeshellcmd() - tieto funkcie len jeden string prevedú na iný podľa určitých pravidiel. Nie sú o nič nebezpečnejšie než addslashes(), či strip_tags().
    15.12.2009 01:30 happymaster23 | skóre: 9
    Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server
    Díky za odpověď, máš pravdu, tohle není nebezpečné, já jsem to tam automaticky zařadil pro to, že je to na tomhle seznamu.

    Takže je tam v podstatě všechno a nic jsem neopomenul? Vybíral jsem to jenom tak od oka, tak mi to připadá divný, že bych se hned tak na poprve trefil :-D.
    AraxoN avatar 15.12.2009 09:19 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
    Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server
    Neviem či to je všetko - funkcií je v PHP príliš veľa na to aby som poznal všetky. :-( Ale keď používaš open_basedir, tak polovicu problémov si už vyriešil.
    15.12.2009 15:16 happymaster23 | skóre: 9
    Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server
    Díky za odpověď,

    nicméně pokud se mrkneš na ten seznam (našel jsem ho mimochodem tady), tak přímo z něj - chybí mi v tom výběru fcí nebezpečných pro server něco a nebo ne?
    14.12.2009 23:45 NN
    Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server
    suhosin

    NN
    15.12.2009 01:32 happymaster23 | skóre: 9
    Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server
    Díky za odpověď,

    na to jsem se už díval, nicméně to potřebuju řádně otestovat, než to nasadím na produkční stroj a na to zatím nemám moc času, takže jsem zatím zvolil kombinaci disable_functions a pro každý virtualhost open_basedir, který je roven DocumentRoot...
    15.12.2009 08:13 faha
    Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server
    Presne a jeste bych pridal grsecutiry patch do jadra.
    Dalibor Smolík avatar 15.12.2009 13:20 Dalibor Smolík | skóre: 54 | blog: Postrehy_ze_zivota | 50°5'31.93"N,14°19'35.51"E
    Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server
    Nebezpečné funkce ... nevím. Stačí mít nastaveno register_globals = On :-)
    Rozdíly v řeči a ve zvyklostech neznamenají vůbec nic, budeme-li mít stejné cíle a otevřená srdce.
    AraxoN avatar 15.12.2009 14:23 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
    Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server
    register_globals je síce neduh, ale samo o sebe to ešte nie je nebezpečná funkcia. Ak je nebezpečná, tak pre neznalého užívateľa a jeho dáta, nie pre server samotný. Najmenej 7 rokov je navyše v default konfigurácii táto funkcia vypnutá, takže týka sa len ľudí, ktorí majú viac než 7 rokov staré PHP, alebo si to zapli sami.
    15.12.2009 21:55 testname :)
    Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server
    Co este okrem openbasedir odporucate?

    D

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.