PDA

Bekijk Volledige Versie : PHP security



wdv
31/12/05, 05:41
Tot nu toe gebruik ik altijd safe mode, echter een nadeel ervan is dat populaire scripts als Joomla! er niet goed mee werken.

Volgens mij zou open_basedir met disable_functions ook al afdoende kunnen zijn (disable_functions ivm exec("ls /dir/van/andere/klant")).

Zelf vind ik iets als suPHP niet echt een optie, aangezien het gewoon veel te veel server capaciteit vreet.

Verder valt het mij op dat veel mensen zich zorgen maken over PHP beveiliging, maar vervolgens compleet vergeten dat met perl ook allerlei gekkigheid uit te halen is. Met perl kan men natuurlijk niet in de directory van een andere klant komen aangezien er suexec gebruikt wordt (dat zullen de meeste hier wel doen neem ik aan), maar men kan zo allerlei programma's opstarten met perl (zoals een kernel exploit of een spambotje oid :)).

Zeker als je het perl aspect erbij pakt vraag ik mij af hoe zinvol safe mode dan nog is.

Wat is jullie mening hierover?

RayManZ
31/12/05, 13:41
mod_security :)

www.gotroot.com staan goede rules :)

Perl heb ik helaas niet zoveel verstand van.

wv-
31/12/05, 14:31
Origineel geplaatst door wdv
Verder valt het mij op dat veel mensen zich zorgen maken over PHP beveiliging, maar vervolgens compleet vergeten dat met perl ook allerlei gekkigheid uit te halen is. Met perl kan men natuurlijk niet in de directory van een andere klant komen aangezien er suexec gebruikt wordt (dat zullen de meeste hier wel doen neem ik aan), maar men kan zo allerlei programma's opstarten met perl (zoals een kernel exploit of een spambotje oid :)).

Zeker als je het perl aspect erbij pakt vraag ik mij af hoe zinvol safe mode dan nog is.

Wat is jullie mening hierover?

ulimits / rlimits. Enkele seconden CPU tijd voor 1 hit op een scriptje, dan hebben spambots/... geen kans om lang te overleven. Via php kan je toch ook gewoon exec() doen als je safe_mode disabled? Dus het is niet veel verschil. Via PHP kan je natuurlijk ook ulimits / rlimits zetten.

wdv
31/12/05, 15:19
Origineel geplaatst door wv-


ulimits / rlimits. Enkele seconden CPU tijd voor 1 hit op een scriptje, dan hebben spambots/... geen kans om lang te overleven. Via php kan je toch ook gewoon exec() doen als je safe_mode disabled? Dus het is niet veel verschil. Via PHP kan je natuurlijk ook ulimits / rlimits zetten.

Als perl weer een ander proces execute heeft rlimits/ulimits toch vrij weinig zin?

exec() e.d. kunnen via disable_functions uitgezet worden.

wdv
31/12/05, 17:25
Laat ik het zo stellen: waarom zou je nog safe mode draaien als je:

- disable_functions = "system,exec,passthru,proc_open,proc_get_status,pro c_nice,proc_terminate,dl,popen,pcntl_exec" hebt
- een goede open_basedir hebt