{% else-1 %}
Обновить
* Тема закрыта!
11.
bibilink * 19.01
(4 авг 2016, 08:30) [0/0] [0] [спам] [под]
MaxtoR,

Выйти в root сервера.
Например спуском на каталоги ниже документ рута )

В корне хоста пишем
//удалил//


Изм. 2 раз. / Посл. изм.
bibilink * 19.01
(4 авг 2016, 09:51)
12.
Tony * 0.11
(4 авг 2016, 08:44) [0/0] [0] [спам] [под]

Кек

13.
MaxtoR * 1.66
(4 авг 2016, 08:59) [0/0] [0] [спам] [под]

bibilink, я пользуюсь исключительно CloudLinux . Там CageFS

14. (4 авг 2016, 09:13) [0/0] [0] [спам] [под]

Почитай в интернете. Там полным-полно инфы

15.
bibilink * 19.01
(4 авг 2016, 09:27) [0/0] [0] [спам] [под]

MaxtoR, я слабо разбирають в этом, но скажу что уязвимость есть даже на крупных хостингах.
Говорить какой хост не буду, но получил доступ даже к etc/passwd, к файлам php и т.д.
Других пользователей с сайтами не нашел, вероятно потому, что там есть какие-то разделение.
Даже на каждый поддомен я могу конфигурировать версию PHP. с панели.
Раз это не особо опасно, то и не сообщал им, тем более могут быть проблемы за "попытку взлома", они помощь выдадут за что угодно.

16.
Mstivoj * 2.18
(4 авг 2016, 09:28) [0/0] [0] [спам] [под]

GZIPES, Можно слить проект с сервера даже если в скрипте и на сервере не будет уязвимостей.

17.
MaxtoR * 1.66
(4 авг 2016, 09:29) [0/0] [0] [спам] [под]

bibilink, конфигурировать на каждый поддомен отдельную версию PHP можно лет уже 5. И называется этот модуль "PHP Selector". Доступ к etc/passwd не является уязвимостью, так как он общедоступен для чтения (так как различные сервисы системы должны читать и смотреть список юзеров). Другое дело, если был бы доступен etc/shadow для чтения

18.
bibilink * 19.01
(4 авг 2016, 09:31) [0/0] [0] [спам] [под]

MaxtoR, т.е доступ ко всем системным файлам не является уязвимостью?

19.
MaxtoR * 1.66
(4 авг 2016, 09:35) [0/0] [0] [спам] [под]

bibilink, уязвимостью не является доступ к /etc/passwd , остальное нужно смотреть к чему именно есть доступ. К некоторым системным файлам (на чтение) доступ действительно не является дырой. Потому что есть файлы, которым нужно, что бы они могли читаться различными сервисами (например сервером бд mysql или же php интерпритатором. Или же сервером teamspeak'а и так далее). Обеспечить возможность чтения можно только разрешив чтение "для всех". Но как правило информация в этих файлах бесполезна. Список юзеров толком ничего не может дать (другое дело, как я уже сказал, если читается etc/shadow , где хранятся хеши паролей юзеров), а в остальных случаев то же самое, зачастую, можно узнать из phpinfo (такое как набор модулей и/или домашние директории модулей). И совсем другое дело, если данные файлы разрешены для редактирования. Вот тогда да - это проблема. Причем не хилая

20.
bibilink * 19.01
(4 авг 2016, 09:50) [0/0] [0] [спам] [под]

MaxtoR, каталоги рута
Array ( [0] => . [1] => .. [2] => bin [3] => dev [4] => etc [5] => home [6] => lib [7] => lib64 [8] => opt [9] => proc [10] => root [11] => sbin [12] => tmp [13] => usr [14] => var )

Подписаны: 1
Скачать тему | Файлы темы | Фильтр сообщений