Ik zit met een vraagje omtrent de beveiliging van een bepaalde functie in IIS6
Ik heb een webservertje draaien voor kennissen/vrienden welke op w2k3, IIS6 met PHP 4.4.2 draait. Dit werkt allemaal prima.
Nu wil 1 kennis van me shell_exec gebruiken om een paar funties eenvoudig te kunnen uit voeren.
Dit kan simpel door cdm.exe execute rechten te geven op de user IUSR_naamsite
Mijn vraag is nu hoe "gevaarlijk" is dit nu voor de server zelf?
Ik ga ervan uit dat de kennis niks vreemds doet maar hoe "open" is de server nu, ik heb het getest en het commando werkt alleen op die ene website. Op andere gehoste websites werkt het dus niet!
Is het mogelijk nu als dit aanstaat om commando's uit te voeren wat je niet wilt op een server, hier bedoel ik dus van buitenaf (dus niet door de kennis via scripts).
Heb ik nu een "security" risk of zit het risico puur in wat in de scripts van mijn kennis staat?
Ik heb een webservertje draaien voor kennissen/vrienden welke op w2k3, IIS6 met PHP 4.4.2 draait. Dit werkt allemaal prima.
Nu wil 1 kennis van me shell_exec gebruiken om een paar funties eenvoudig te kunnen uit voeren.
Dit kan simpel door cdm.exe execute rechten te geven op de user IUSR_naamsite
Mijn vraag is nu hoe "gevaarlijk" is dit nu voor de server zelf?
Ik ga ervan uit dat de kennis niks vreemds doet maar hoe "open" is de server nu, ik heb het getest en het commando werkt alleen op die ene website. Op andere gehoste websites werkt het dus niet!
Is het mogelijk nu als dit aanstaat om commando's uit te voeren wat je niet wilt op een server, hier bedoel ik dus van buitenaf (dus niet door de kennis via scripts).
Heb ik nu een "security" risk of zit het risico puur in wat in de scripts van mijn kennis staat?
/u/28468/librarian2.png?f=community)