Testovani napadeneho webu v PHP na LAMP

26. 12. 2015 18:50:43

Existuje zpusob, jak na lokale, nebo vnitrnim serveru odzkouset LAMP aplikaci, ktera na hostingu rozesilala spam? Da se v PHP nejak zakazat, aby script nemohl pristupovat nekam na internet? Jake dalsi rizika tam jsou? Muze se dostat mimo svuj pracovni adresar? Na serveru mam apache s virtualhosts a dalsimi weby, je tedy bezpecne ho tam vubec spoustet?

PHP_mail na serveru nemam nakonfigurovany, takze spamy by rozesilat nemel. Do databaze mu vytvorim extra prihlasovaci udaje.

Diky za tipy,

26. 12. 2015 18:50:43

https://webtrh.cz/diskuse/testovani-napadeneho-webu-v-php-na-lamp/#reply1161187

McFly

(4 hodnocení)

26. 12. 2015 19:31:42

Da se v PHP nejak zakazat, aby script nemohl pristupovat nekam na internet?

Mnohé funkce v PHP se dají zakázat.

Muze se dostat mimo svuj pracovni adresar?

Může, záleží na nastavení serveru. (osobně jedu na MPM-ITK + open_basedir -> skript může jen tam, kam chci já, teoreticky:-)

A víš, jaký skript to je? Z logu by asi šlo zjistit, kdo jej volal. Možná i s jakými parametry? Možná by jen stačilo ošetřit vstupy v postiženém skriptu? Mnoho otázek...

26. 12. 2015 19:31:42

https://webtrh.cz/diskuse/testovani-napadeneho-webu-v-php-na-lamp/#reply1161186

darksir

(1 hodnocení)

26. 12. 2015 22:50:47

Aha :-) tak jinak, potrebuju, aby se script nemohl dostat vyse, nez je adresar s tim virtualhostem. To se da predpokladam nastavit nejakou direktivou primo v php, potazmo v konfiguraci apache?

26. 12. 2015 22:50:47

https://webtrh.cz/diskuse/testovani-napadeneho-webu-v-php-na-lamp/#reply1161185

McFly

(4 hodnocení)

28. 12. 2015 10:32:05

jj, v konfiguraci apache se dá u virtualhosta nastavit direktiva open_basedir

...

php_admin_value open_basedir "/var/www/example.com"

...

28. 12. 2015 10:32:05

https://webtrh.cz/diskuse/testovani-napadeneho-webu-v-php-na-lamp/#reply1161184

darksir

(1 hodnocení)

28. 12. 2015 13:57:08

Diky moc, basedir bude to prave orechove. Jeste mne trapi jedna vec. Kdyz k aplikaci pres .htaccess v korenu zakazu pristup z jine ip, nez lokalni, nebo moji verejne, pak by se k ni nemel pripojit ani utocnikuv robot nekde z netu, i za predpokladu, ze by mu nejaky kod (vitus) uvnitr aplikace sdelil, na jake IP ted bezi, ze? Maji za urcitych okolnosti soubory v php sanci zmenit .htaccess? Pokud mu napr omezim prava zapisu primo na serveru? Mam na mysli situaci, kdyby utocnik nasadil do aplikace nejaky backdoor, kterym by byl schopen menit soubory na disku, aby si nemohl otevrit pristup. To, ze utocnik ziska root prava na serveru, nebo moznost spoustet skripty nechejme stranou, jde mi ciste o moznosti te PHP aplikace, zda je bezpecne ji testovat jen tak, ze omezim pristup pres .htaccess, nebo bude lepsi to zarazit primo v konfiguraku virtualhostu.

28. 12. 2015 13:57:08

https://webtrh.cz/diskuse/testovani-napadeneho-webu-v-php-na-lamp/#reply1161183

Pro odpověď se přihlašte.

Přihlásit