Re: OpenVZ
Alexey Pechnikov -> debian-russian@lists.debian.org @ Fri, 12 Mar 2010 12:22:18 +0300:
>> AP> Пока что я не вижу, что вы добились, закрывая порт 80. Если кого-то
>> AP> сломают через php, то через него же и зальют любые нужные файлы, то
>> AP> же самое с апачем.
>>
>> "Ты пальцем покажи". Вот у тебя есть уязвимость, позволяющая выполнить
>> на сервере шелловскую команду. Любую. Но - stdin/stdout у нее в
>> /dev/null (у PHP может быть хуже, да, а в случае с уязвимостью в модуле
>> у апача или у твоего любимого AOL, скорее всего, будет именно так, если
>> ошибка не в mod_cgi). Вопрос. Какую команду ты будешь выполнять?
>>
>>
AP> Нечто, что принимает на stdin залитый через веб-интерфейс файл
/dev/null у нее stdin.
--
Кто первый встал, того и грабли
Д. Белявский
Reply to:
- Follow-Ups:
- Re: OpenVZ
- From: Alexey Pechnikov <pechnikov@mobigroup.ru>
- References:
- Re: OpenVZ
- From: Alexey Pechnikov <pechnikov@mobigroup.ru>
- Re: OpenVZ
- From: Artem Chuprina <ran@ran.pp.ru>
- Re: OpenVZ
- From: Alexey Pechnikov <pechnikov@mobigroup.ru>