|
ru.cgi.perl
- RU.CGI.PERL ------------------------------------------------------------------
From : Konstantin Ursaloff 2:5020/400 28 Jun 2001 22:11:33
To : All
Subject : Re: Спрятапть пароль доступа к MySql
--------------------------------------------------------------------------------
--
Dmitry Chertischev <dim-dim@ariadnamedia.com> пишет в
сообщении:3B311918.785D46E6@ariadnamedia.com...
> > .
>
> > KU> Ведь если он есть открытым текстом, то добраться до него все равно
можно ну
> > KU> например с соседних виртуальных серверов, а если еще и пров дает
вход в бд
> > KU> только с одним паролем , то полный доступ кулхацкеру, что можно
сделать
> > KU> кроме разделения прав доступа к таблицам???
> > не, на ноpмальных хостингах такого нет. напpимеp мои файлы дpугой
чел с
> > того же хостинга может только екзекуте. а pид не может. те на
дтpетоpии стоит
> > drwx.....x и все. или есть ваpиатны это обойти ?
> >
>
> Ты сам это придумал или тебе это хостер сказал? Если хостер - то тебя
обманули
> :-)))
> drwx---x означает, что "прочие" пользователи могут зайти в директорию, но
не могут
> получить
> листнг файлов в этой директории. Если в этой директории есть файлы с
правами
> rwxr-xr-x, то прочитать
> их и выполнить может любой кекс.
> ОК к примеру на cgi-bin drwx-----x все превосходно ls
/home/user/public_html/cgi-bin/ обламывается
что радует.
Однако скрипты работают только на rwx---r-x, если ставлю что то типа
rwx----x - Ошибка на сервере ((((((
Значит `cat /home/user/public_html/cgi-bin/secure.pl` nobody все же
выполнит, а узнать путь к файлу на сервере все же возможно, и не так уж
трудно к сожалению. Так что прийдется пробовать SuExec, хотя с ним еще не
работал.
Best regards from Konstantin Ursalov,
programmer http://www.kupi.mk.ua
phone: +38(0512)36-58-97
HP: http://www.ursaloff.mksat.net
email: webmaster@kupi.mk.ua
ICQ#:73843243
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
