آموزش جلوگیری از اجرای eXploit روی سرور

[Gertel]

سلام
اگر بحث هک اسکریپت باشه که باید خدمتتون عرض کنم اگر اسکریپت شما امکان اپلود و اجرای فایل php داشته باشه شما با هر ابزاری از cxs تا بستن فانکشن ها و suhosin هم جلوی اجرای شل بگیرید بازم کار بزرگی نکردید چون اگر هکر برنامه نویس باشه (اگر نباشه اسمش هکر نیست چیز دیگس) با کمی php باز هم به سایت نفوذ میکنه چون نیاز انچنانی به استفاده از توابع مربوط به اجرای دستور که در شل ها دیده میشه نداره و کار راحت تر هست (کافی هست بتونه فایل لیست کنه و بخونه و درصورت نیاز تغییر بده)
در این نوع هک مهم ترین نکته امنیت اسکریپت شماست اگر امن نباشد روی امن ترین سرور جهان هم قرار بدهید باز هم احتمال هک وجود دارد

شاید حرف های بنده صحیح نباشد . درصورت نیاز لطفا همکاران و دوستان محترم (که استاد بنده هستند) تصحیح کنند.

موفق و پیروز باشید

سوال من در مورد امنیت اسکریپت نبود و پاسخ شما هم کلی بود.


در واقع این بدیهی هست زمانی اسکریپت امنیت پائین داشته باشه بهش میشه نفوذ کرد حالا نه شل sqli xss و ...


تاپیک من هم اصلا در مورد امنیت اسکریپت نیست بلکه دقیقا در مورد جلوگیری از اجرایی شدن هست که دقیقا به سرور مربوط میشه.


اسکریپت کاری که میتونه بکنه خوندن هدر فایل هست و محدود کردن فایل و ... اما اجرایی شدن کار سروری هست که کد روش هست.


برای اینکه تاپیک منحرف نشه لطفا چنانچه تجربه واقعی در این زمینه دارین ، اشتراک بزارین چیزی که میدونین. مطمئنا این مشکل خیلی ها هست.

[hamid53214]

سوال من در مورد امنیت اسکریپت نبود و پاسخ شما هم کلی بود.


در واقع این بدیهی هست زمانی اسکریپت امنیت پائین داشته باشه بهش میشه نفوذ کرد حالا نه شل sqli xss و ...


تاپیک من هم اصلا در مورد امنیت اسکریپت نیست بلکه دقیقا در مورد جلوگیری از اجرایی شدن هست که دقیقا به سرور مربوط میشه.


اسکریپت کاری که میتونه بکنه خوندن هدر فایل هست و محدود کردن فایل و ... اما اجرایی شدن کار سروری هست که کد روش هست.


برای اینکه تاپیک منحرف نشه لطفا چنانچه تجربه واقعی در این زمینه دارین ، اشتراک بزارین چیزی که میدونین. مطمئنا این مشکل خیلی ها هست.

اگر اسکریپت شما شامل آپلود فایل هست اول فایل به tmp میره که معمولا ایمن سازی میشه
بعدشم به جایی دیگه منتقل میشه که اگه اونجا هم محدودیت اجرای اسکریپت داشته باشه و تغییر نام فایل ها رو انجام بدید دیگه دسترسی به شل آپلود شده غیر ممکن میشه

[Gertel]

اگر اسکریپت شما شامل آپلود فایل هست اول فایل به tmp میره که معمولا ایمن سازی میشه
بعدشم به جایی دیگه منتقل میشه که اگه اونجا هم محدودیت اجرای اسکریپت داشته باشه و تغییر نام فایل ها رو انجام بدید دیگه دسترسی به شل آپلود شده غیر ممکن میشه

ممکنه بیشتر توضیح بدین؟


اسکریپت نیاز داره پرمیشن 777 داشته باشه. تو خود فولدر آپلود با اچ تی اکسز محدود شده رو هدر فایل ، اما شل باز اجرا میشه. فرضا فرمت رو حتی به صورت گیف آپلود کردم دیدم میشه ران کرد.


من دنبال یه راه مطمئن هستم. نمیدونم اگر مسیر آپلود فایل رو ببریم یه فولدر قبل از public_html حل میشه یا نمیشه.


شما راه حلی دارین ممنون میشم بیشتر توضیح بدین چون متوجه منظورتون نشدم.

[hamid53214]

ممکنه بیشتر توضیح بدین؟


اسکریپت نیاز داره پرمیشن 777 داشته باشه. تو خود فولدر آپلود با اچ تی اکسز محدود شده رو هدر فایل ، اما شل باز اجرا میشه. فرضا فرمت رو حتی به صورت گیف آپلود کردم دیدم میشه ران کرد.


من دنبال یه راه مطمئن هستم. نمیدونم اگر مسیر آپلود فایل رو ببریم یه فولدر قبل از public_html حل میشه یا نمیشه.


شما راه حلی دارین ممنون میشم بیشتر توضیح بدین چون متوجه منظورتون نشدم.

باید روی فولدر php.ini کاستوم قرار داده بشه
اگرم از cgi,python ,perl استفاده نمیکنید روی سرور غیر فعال بشن

[Gertel]

باید روی فولدر php.ini کاستوم قرار داده بشه
اگرم از cgi,python ,perl استفاده نمیکنید روی سرور غیر فعال بشن

منظور شما رو متوجه نمیشم


اما چون نود جی اس استفاده میکنم روی اسکریپت پایتون باید فعال باشه.


منظور شما از کستوم کردن php.ini چی هست؟


ممکنه بیشتر توضیح بدین؟