明誠科技小峰 | 而且用這個程式只要主機LOG檔沒有清除,被抓到是很有機會坐牢的,要用的人最好三思. |
回覆 |
獎金獵人 | 惡魔啊,這樣的行為是不是很不妥呢....=_= |
回覆 |
拉登長官 | 我倒不覺得這隻程式有什麼特別的.. PHP 本身造成的漏洞, 可以用 patch 過的 Linux Kernel 解掉.. 你讓 PHP cgi 發生緩衝溢位, 我馬上就發現你的 IP.. 紀錄下來.. 至於 Apache Modules 使用 safe_mode, 那是當然必須要如此做的.. PHP 編譯時期就應該限制 Out of Home Directory Jail. 我比較想利用 虛擬主機開放 CGI mode, 而利用 user process 取得 root 權限 |
回覆 |
網路流浪者...... | [QUOTE]最初由 acs 發表 [B]luckyboys 兄說的問題是有可能的 其主要原因是因為 apache 以 nobody 的身份在跑 如果該主機只有一個使用者的話絕對不會有問題 但是在多使用者的環境下,為了要讓 apache 可以讀得到網頁與程式 ............................................................ 以下恕刪... 那可否請問一下何謂nobody? 它是個權限or??? |
回覆 |
獎金獵人 | 引用:
最近 在研究 | |
回覆 |
.. | 感謝幾位前輩的解釋,回到實際應用層面, 如果我自己在Windows用AppServ等工具架個Apache, 要如何處理這樣的安全性問題呢? 在 php.ini 中設 safe mode on 就可以了嗎? 或者是還要安裝 apache suexec 模組? 另外一件事是,我該如何讓我的虛擬主機商知道這樣的問題的存在, 並且讓他改進網站安全性呢?要怎麼跟他講才會知道, 還是說,只要把PCZONE這篇文章傳給他看就好? 我也擔心我的網站安全問題啊 ~~~ |
回覆 |
會員 | 引用:
名字就叫 nobody | ||
回覆 |
會員 | 引用:
所以不適用我之前說的那些方法 本篇討論的權限問題由來已久 如果您還在唸書的話 看一下學校提供學生用的網頁伺服器設定 便能發現大多都有同樣的隱憂 所以這不是新發現的缺陷或弱點 也不是外人可以用的漏洞 跟您同一個伺服器上的用戶才有可能去做窺探的動作 而且知道的人要做的話老早就做了 所以其實不必特別擔心 | |
回覆 |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。