PHP - možnosti útočníka na vloženie vlastného kódu

Dobrý deň prajem osadenstvu.

Chcel by som sa dozvedieť, že aké má útočník možnosti - čiže čo musí programátor PHP aplikácie zanedbať aby bolo možné nahrať a spustiť na serveri vlastný PHP kód. Samozrejme, že neberme do úvahy nasledovné veci: ftp/scp/webdav/akýkoľvek_iný_daemon/..., nezabezpečený upload form na stránke, zle použitá a nezabezpečená funkcia eval, allow_url_include, vážna bezpečnostná chyba v samotnom php a/alebo httpd. Nejde mi teraz o samotný prienik do databázy (SQL Injection), alebo vloženie nejakého JS a iného kódu pracujúcom na strane klienta a podobne, ale ide mi výlučne o vloženie a spustenie kódu priamo na serveri cez samotnú webovú aplikáciu.

Vopred vám veľmi pekne ďakujem za odpovede.

Pochopi jsem dobre, ze ti jde o XSS?

23.8.2013 10:08 Peter
Rozbalit Rozbalit vše Re: Peter

XSS je pre mna fakt široký pojem, ktorému úprimne sa priznám v celej jeho šírke nerozumiem. Ale pravdepodobne áno - proste fakt jednoducho povedané ako môže útočník nahrať a spustiť (to už potom bude samozrejme, že jednoduché) na môj server nejaký php, cgi a čo ja viem aký ešte skript pomocou mnou zle napísanej (deravej) php aplikácie okrem vyššie spomenutých možností.

23.8.2013 11:39 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Peter

Ne, mluví o propašování PHP na server.

Myslím, že vyjmenoval všechny možnosti, které útočníci běžně používají. Pokud má všechno vyjmenované zabezpečené, tak by to mohlo být v pohodě.

Já to s tou denacifikací Slovenska myslel vážně.

Dotaz: PHP - možnosti útočníka na vloženie vlastného kódu

Odpovědi