PATH apache
Luca Giuzzi
giuzzi a dmf.unicatt.it
Mar 22 Gen 2002 22:48:33 UTC
On Tue, Jan 22, 2002 at 03:08:38PM +0100, Delbono Nicola wrote:
>
> Perchè cambiare il path:
>
> se alla voce standard
> PATH = "/bin:/usr/bin:/sbin:/usr/sbin"
>
> io aggiungo anche una cosa tipo:
>
> "/usr/bin/abHgywi8jsuUtebhagRuwsxshsytewteNNSake"
>
> Alla fine ottengo:
> PATH =
> "/bin:/usr/bin:/sbin:/usr/sbin:/usr/bin/abHgywi8jsuUtebhagRuwsxshsytewteNNSa
> ke"
>
>
>
> <?php
>
> $pickFrom = ini_get("PATH");
> $mysql_user = $pickFrom[10] . $pickFrom[6] . $pickFrom[15] . $pickFrom[19] .
> $pickFrom[19] .$pickFrom[26] . $pickFrom[1] ;
>
> $mysql_pass = $pickFrom[3] . $pickFrom[9] . $pickFrom[24] . $pickFrom[22] .
> $pickFrom[11];
>
> eccetera eccetera
> ?>
>
>
> riesco a evitare di scrivere su un file php la user e password (in questo
> esempio quelle di mysql)
Cosa????????????????????
tu vorresti sostituire ad un file con login e passwd una componente di
PATH??? e a che ti giova... l'environment VIENE letto da apache...
questo trucco non ti conduce da nessuna parte se c'e un errore di
configurazione.... le variabili di envirnoment le ereditano tutti i
processi... i file descriptors non sono passati attraverso fork!!
> in modo tale da evitare che, magari per un errore di config di apache le
> password vngano lette.
>
no... cosi' uno le legge anche senza un errore di config... bello...
> Per beccare questa password uno deve necessariamente :
>
> 1. Mettere un file php sul server, poterlo eseguire e quindi leggere il
> valore PATH
se non c'e' php dubito che tu possa eseguire $pickFrom o cosa per essa
[quantomeno, il mio interprete perl non lo fa] ... se c'e', bhe... ti
rispondi da solo...
> oppure
> 2. leggere il valore di PATH
>
cosa che fanno praticamente tutti i programmi sul tuo sistema... incluso
ident, per la cronaca...
>
> Certo non risulta MOLTO piu' sicuro, ma almeno una possibilità la elimino.
> era una mia gabola.
>
Non e' una faccenda di "piu' sicuro" quanto di
1) minor sicurezza
2) pessima & cervellotica idea
La PATH serve a fare una cosa: a dire alla shell dove cercare gli eseguibili;
impiegarla per "occultare dati" e' cosa assolutamente illogica e a sproposito.
lg
Maggiori informazioni sulla lista
Lug
|