Ασφάλεια σε Apache & PHP

Σε αυτή την περιοχή μπορείτε να βρείτε ή να αναζητήσετε πληροφορίες σχετικές με την PHP

Συντονιστές: WebDev Moderators, Super-Moderators, PHP Moderators

Απάντηση
DeveloperGR
Δημοσιεύσεις: 67
Εγγραφή: 08 Νοέμ 2009 22:59

Ασφάλεια σε Apache & PHP

Δημοσίευση από DeveloperGR » 08 Νοέμ 2009 23:07

Καλησπέρα σε ολο το Forum ,

Είμαι νεος σχετικα Developer σε PHP και εχω μια απορία...υπάρχει κάποιος τρόπος ωστε να μπορέσει κάποιος να δεί σε ενα Folder στον Apache μου τι Php Scripts έχω και κυριώς εαν γινεται να δεί τα scripts αυτά τι μεταβλητές _GET η/και _POST "περιμένουν";;;;;;;

Άβαταρ μέλους
cdhyper
Literature Moderator
Δημοσιεύσεις: 9707
Εγγραφή: 23 Ιουν 2001 03:00
Τοποθεσία: Φωτονερόπετρα
Επικοινωνία:

Ασφάλεια σε Apache & PHP

Δημοσίευση από cdhyper » 09 Νοέμ 2009 16:58

Αν έχεις στον apache (httpd.conf) τα indexes on μπορεί κάποιος να δει τα περιεχόμενα ενός φακέλου σου και φυσικά και τα php scripts σου. Επομένως βάλτα off και κάνε ένα service httpd restart.

Τώρα να δει τον php κώδικα δεν μπορεί αφού η γλώσσα εκτελείται server side και εσύ ως χρήστης βλέπεις τα αποτελέσματα του script και όχι το script καθαυτό.
Σύγκριση τιμών Supermarket: http://www.shopnsave.gr
Νέα Ιταλικα επιπλα κουζινας
Για φιλοσόφους: http://filosofia.gr και http://liantinis.org

Άβαταρ μέλους
cpulse
Script Master
Δημοσιεύσεις: 1527
Εγγραφή: 21 Μαρ 2006 19:30
Τοποθεσία: Αθήνα village
Επικοινωνία:

Ασφάλεια σε Apache & PHP

Δημοσίευση από cpulse » 10 Νοέμ 2009 12:09

Κι όμως μπορεί. Αν ο server σου δεν έχει ενεργοποιημένο το open_basedir όλα είναι ανοιχτά.

Αν έχεις για control panel το Plesk μάλλον δεν έχεις πρόβλημα. Αν έχεις το Cpanel ψάχτω γιατί εκεί το open_basedir δεν είναι ενεργοποιημένο από τα defaults.

DeveloperGR
Δημοσιεύσεις: 67
Εγγραφή: 08 Νοέμ 2009 22:59

Ασφάλεια σε Apache & PHP

Δημοσίευση από DeveloperGR » 10 Νοέμ 2009 13:03

Προφανώς και τα php scripts εκτελουνται στον server...δεν εννοω αυτο ακριβώς..μιλάω για ασφάλεια και Hacking εαν μπορεί καποιος π.χ χωρις να εχω τα indexes του Appache ενεργοποιημένα να μπορέσει καπως [ π.χ με ενα Sniffer Προγραμμα ] να δεί τι Php scripts υπάρχουν σε εναν οποιονδήποτε Server [ ειτε Appache είτε IIS ] και τι δεδομένα _GET ή/και _POST περιμένουν...Εχει δοκιμάσει καποιος καποιο Sniffer προγραμμα γι αυτη τι δουλεία να δεί τι Packets στελνονται στον Server κτλ;;;;

Άβαταρ μέλους
cpulse
Script Master
Δημοσιεύσεις: 1527
Εγγραφή: 21 Μαρ 2006 19:30
Τοποθεσία: Αθήνα village
Επικοινωνία:

Ασφάλεια σε Apache & PHP

Δημοσίευση από cpulse » 10 Νοέμ 2009 13:53

Ο sniffer είναι ένα πρόγραμμα που παρακολουθεί μια επικοινωνία. Ο browser στέλνει ένα request στον server σου και ο server απαντάει με μια HTML σελίδα. Αυτό είναι που μπορεί ο sniffer να παρακολουθήσει.

Η μετατροπή του request σε HTML σελίδα είναι κάτι που γίνεται στον server εσωτερικά. Ο apache βλέπει αν το request γίνεται σε σελίδα PHP. Αν ναι τότε δίνει τον έλεγχο στην PHP για να δημιουργήσει την απάντηση αλλιώς αναλαμβάνει ο ίδιος να στείλει ένα έτοιμο έγγραφο (HTML, εικόνα, ο,τιδήποτε άλλο). Αλλά όλο αυτό γίνεται εσωτερικά στον server οπου κανένας sniffer δεν μπορεί να παρακολουθήσει κάτι.

Για να διαβάσεις ένα script πρέπει είτε να έχεις κάποιο είδος rootkit εγκατεστημένο στο δικό σου site ή σε άλλα sites που φιλοξενούνται στον ίδιο server.

Σε περίπτωση που το open_basedir δεν είναι ενεργοποιημένο στον server σου, ένα άλλο site που φιλοξενείται στον server σου μπορεί να διαβάσει τα scripts σου, αν δεν έχουν προστασία από ανάλογα permissions. Δεν συμβαίνει συχνά αυτό με το open_basedir, αλλά καλό είναι να σιγουρευτείς οτι δεν έχεις τέτοιο πρόβλημα.

Σε περίπτωση που έχεις κάποιο επισφαλές πρόγραμμα στο δικό σου site τότε δεν σώζεσαι με τίποτα.

Σε οποιαδήποτε περίπτωση πάντως ακολούθα τις κλασσικές συμβουλές για ασφάλεια. Πχ. το register global να είναι κλειστό, να προσέχεις για sql injections κτλ.

Απάντηση

Επιστροφή στο “PHP Προγραμματισμός”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 1 επισκέπτης