Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

CGI

CGIWarp

Рубрики: Безопасность | Защита сервисов
Метки: |
Дата: 03/08/2009 09:47:39
Подписаться на комментарии по RSS

Проблема употребления CGI-сценариев заключается в том, что они выполняются с правами Web-сервера, а не создавшего их пользователя. Представьте, что хостинг-провайдер предоставляет Web-пространство клиентам.

     Корпоративный пользователь (какая-то компания) помещает свой Web-сайт на сервере. Он тоже записал CGI-сценарий, позволяющий пользователям его компании править свое расписание. Изменения в расписании записываются в текстовый файл, созданный CGI-сценарием. Владельцем данного файла представляется пользователь, от имени которого работает Web-сервер - обычно http, www или nobody.

     Пользователь Иванов, как часто такое бывает, «обиделся» на свою компанию (к примеру, ему не повысили зарплату, хотят уволить или уже уволили). Он регистрируется в системе, создает свой собственный CGI-сценарий, удаляющий какой угодно файл, который передан ему в качестве параметра. Потому что этот вредоносный сценарий запускается от имени того же, пользователя, который создал файл с расписанием, ничто ему не мешает удалить его.

Далее...

Безопасность CGI.

Рубрики: Безопасность | Защита сервисов
Метки: |
Дата: 31/07/2009 08:59:25
Подписаться на комментарии по RSS

     WEB-скриптинг.

     Непонятно, почему многие администраторы закрывают глаза на используемые на их сервере CGI-скрипты, при данном они часами могут настраивать остальные аспекты безопасности системы, даже не ведая, что творится у них «под носом». А ведь CGI-скприпты, особенно написанные третьими лицами (форумы, гостевые книги и т.д.), отображают большую угрозу безопасности для Web-сервера.

     Ранее было показано, как надо употреблять CGI-скрипт для выполнения команд с привилегиями Web-сервера. Но это далеко не весь вред, который могут причинить Web-скрипты. Поэтому Web-скриптингу можно уделить значительно больше внимания, чем обычно.

     Нужно убедиться, что выключен SSI и CGI, если в них нет потребности.

     Рекомендуется создать для SSI и CGI два каталога (один для SSI и один для CGI), доступ к которым будет контролироваться. Если пользователю нужен CGI-сценарий, он должен будет попросить поместить этот сценарий в каталог CGI. Тогда, перед записью сценария можно проверить его на фигурирование вредоносного кода.

Далее...

Трояны и backdoor`s

Рубрики: Безопасность | Уязвимости Linux-сервера
Метки: | | |
Дата: 21/01/2009 14:44:28
Подписаться на комментарии по RSS

В отличии от вирусов и червей, трояны используют в других целях. Их основное назначение - получить удаленный доступ к системе. Также они не способны к размножению, как вирусы и черви. Трояны редко вызывают повреждение данных - повредить данные может уже сам крекер, который получил доступ к системе с помощью трояна.Далее...