Likes: 0
30/08/04 19:47
Er zijn ontzettend veel foute dingen gescript in PHP, dus je kunt veel via de URL uithalen.Origineel geplaatst door _arno_
Kunt u dit argumenteren , ben wel geintereseert in
Maar ook zonder die fouten zijn er dingen die via een URL gedaan kunnen worden.
30/08/04 19:50
Dus met bepaalde dingen mee geven in de url zou dus een exploit kunnen worden misbruikt.
Maar als jij je php script goed heb gebouwt moet dit toch niet mogelijk zijn lijkt mij
30/08/04 20:29
Heel toevallig kom ik een phpinfo tegen op jullie website, waarvan ik toch een tip moet geven, upgrade je kernel!! RedHat 9 biedt al heel lang geen updates/patches. Je huidige kernel heeft sowieso 1 crash exploit en een root privilege exploit.Origineel geplaatst door Cybafish
Vertrouwen hebben in je eigen beveiliging blijft belangrijk... en ook zorgen dat je daar een reden voor hebt! Een PHPinfo laat zulke basale info zien, dat zou eigenlijk geen gevaar moeten vormen. Doet het dit (voor jouw gevoel) wel dan zul je bij jezelf moeten raadslagen of je beveiliging wel up to date is.
Zou jij graag misbruikers de mogelijkheid geven om allerlei dos/irc/rootkits/spam scripts kan uploaden en draaien dankzij een onveilige phpnuke?Origineel geplaatst door _arno_
Kunt u dit argumenteren , ben wel geintereseert in
Laatst gewijzigd door McRox; 30/08/04 om 20:33.
30/08/04 20:31
30/08/04 20:32
Let er in ieder geval op dat je je /tmp folder beveiligd. Hier worden nog steeds veel fouten in gemaakt.Origineel geplaatst door _arno_
Kunt u dit argumenteren , ben wel geintereseert in
30/08/04 21:24
Een noexec alleen lost niet alles op, als je dat bedoelt.Origineel geplaatst door Carl<n-media>
Let er in ieder geval op dat je je /tmp folder beveiligd. Hier worden nog steeds veel fouten in gemaakt.
30/08/04 21:34
Er is altijd de mogelijkheid dat er een attack op de server word uitgevoerd, maar als je gewoon alles up to date houd (dus ook php!) dan hoef je je in veel gevallen niet veel zorgen te maken.
30/08/04 21:48
Als ik gebruik maak van Debian packages uit http://www.debian.org/distrib/packages zijn ze natuurlijk altijd wel ietsje verouderd, maar is het gevaarlijk oud of is het wel te doen?
30/08/04 21:51
je bedoelt php?Origineel geplaatst door Jamai
Als ik gebruik maak van Debian packages uit http://www.debian.org/distrib/packages zijn ze natuurlijk altijd wel ietsje verouderd, maar is het gevaarlijk oud of is het wel te doen?
je moet sowieso naar php 4.3.8 upgraden omdat alles wat daar onder zit secu bugs hebben.
30/08/04 21:55
Niet alles, maar toch veel.Origineel geplaatst door mihosnet
Een noexec alleen lost niet alles op, als je dat bedoelt.
30/08/04 22:01
noexec is makkelijk te omzeilen. Tegenwoordig is een dagelijkse controle op de /tmp, /var/tmp, /dev/shm etc. net zo belangrijk als het controleren van logs en op rootkits..Origineel geplaatst door Carl<n-media>
Niet alles, maar toch veel.
30/08/04 22:37
allow_url_fopen uit is ook een goede optie.
Als je dan nog even compiled net --disable-posix dan is het helemaal goed.
De URL fopen zet je dan gewoon alleen aan voor de klanten die het willen.
Ceph, CloudStack en ZFS consultancy: 42on B.V.
Lees hier de webhostingtalk.nl forum regels en voorwaarden!
30/08/04 23:29
Ik wist niet dat het mogelijk was om via de url te hacken, vandaar de vraag.Origineel geplaatst door McRox
Zou jij graag misbruikers de mogelijkheid geven om allerlei dos/irc/rootkits/spam scripts kan uploaden en draaien dankzij een onveilige phpnuke?
Natuurlijk wel die specefieke site , maar niet een gehele server
31/08/04 09:55
phpnuke etc worden veel gebruikt om allerlei vunzige tools op je server te zetten ik zie vaak bij klanten dat hun hele /tmp vol zit met rare tools.
31/08/04 10:04
PHP script bevatten veel mogelijke exploits en zoals eerder aangegeven is er nog geen 100% afdoende beveiliging hiervoor te vinden _zonder_ een hele hoop functionaliteit uit te schakelen.
"security by obscurity" is wellicht niet de juiste methode, maar domweg PHP info scripts posten op je website is naar mijn inzien een zeer slecht idee.
Een vals gevoel van veiligheid is nog veel erger dan niet zeker weten of je goed beveiligd bent.
Quotes:
"Origineel geplaatst door Cybafish
Vertrouwen hebben in je eigen beveiliging blijft belangrijk... en ook zorgen dat je daar een reden voor hebt! "
"Weet ik, maar wij hebben zo onze maatregelen genomen, afgezien van de (laatste officiële door redhat uitgegeven) kernel versie"
Quote