خوانده شدن فایل های حساس در سرور [بایگانی] - انجمن تخصصی وب هاستینگ ایران

PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : خوانده شدن فایل های حساس در سرور

mhk67

August 7th, 2013, 16:12

سلام
با استفاده از تابع file_get_contents به راحتی می تونن فایل های
/etc/named.conf
/etc/passwd
رو بخونن
آیا خود این موضوع یک مشکل امنیتی به حساب میاد و آیا میشه از خوندن این فایل ها اطلاعاتی برای تفوذ به بقیه سایت ها پیدا کرد ؟
چطور میشه مانع خوندن این فایل ها شد
اگر تابع file_get_contents رو ببندم مشکلی در اسکریپت های فری موجود پیش نمیاد ؟
ممنون

mhk67

August 7th, 2013, 16:48

واقعا نمیشه کاری کرد که از پوشه خودش بالاتر نیاد ؟ چرا می تونه فایل هایی که در پوشه etc هست رو بخونه؟

fr0nk

August 7th, 2013, 20:28

کانفیگ و پرمیشن بندی صحیح ( البته فایل /etc/passwd یه فایل گلبال هست و قابل خوندن در حالت اصلی ) اما خوندنش در مواردی میتونه خطرناک بشه ، به فرض مثال برای بدست اوردن یوزر ها برای سیملینک یا استفاده در کرک ftp و cpanel

Creepy

August 8th, 2013, 03:34

open_basedir (http://www.php.net/manual/en/ini.core.php#ini.open-basedir)

ali2k

August 8th, 2013, 04:37

open_basedir (http://www.php.net/manual/en/ini.core.php#ini.open-basedir)

راهش فعال کردن open_base برای هر کاربر هست.

mhk67

August 8th, 2013, 11:48

اگر امکان داره در مورد open_base بیشتر توضیح بدید. و در مورد دیسیبل کردنش در دایرکت ادمین راهنمایی کنید