[PHP] Hoe kan een lokale user misbruik maken van PHP??

Je zou bijv. de map met de php bestanden kunnen beveiligen met een wachtwoord, want zover ik weet kun je niet je php afschermen, tenminsste als je de bestanden bedoeld?

Voor een FAQ zie: http://www.php.net

En voor jouw wellicht interessant, het gedeelt over programma's uitvoeren: http://nl2.php.net/manual/en/function.exec.php

Simpel voorbeeldje: Je gebruikt een veel voorkomende PHP-forum, waar je de config-file niet hebt beschermd.... een persoon zou deze file gewoon door de url in te tiepen kunnen lezen, waar hij de gebruikersnaam en password kan lezen.... bijv. van je database....

Er zullen wel meer voorbeelden zijn, maar ik ben niet zo'n hacker.

Verwijderd schreef op 17 juni 2003 @ 17:43:
Ik wil graag weten wat andere users op mijn bak kunnen veroorzaken met PHP. En ook hoe ik dit zou kunnen voorkomen, heeft iemand voor me een FAQ of een MAN. Geef me aub de URL dervan Ik heb gewoon een standaard versie van php4 draaien op apache.

...ummm..

Tja, de user rechten van de map zo aanpassen dat alleen jij lees en schrijf rechten hebt ( niet vergeten de apache deamon rechten te geven ) moet het geintje doen he!

Iemand draait een portscan, ziet dat ftp openstaat, jij hebt toevallig anonymus access laten openstaan en hij kan je sources zien, bedoel je zoiets?

Verwijderd schreef op 17 June 2003 @ 17:51:
Okeej bedankt hoor maar aan die faq heb ik zelf niet zo veel van php, en dat phpforum is idd ook gewoon een vorm van permissies die niet goed staan.... Maar iid je kan via een ander scriptje iemand anders zijn files openen, als ze van de apache user zijn.... Logish. maar wat kan ik hier tegen doen en wat zijn andere dingen die kunnen worden gedaan?

PHP's Safe mode aanzetten?

Er liep hier nog een topic over over iemand die alle bestanden bij zijn host kon aanpassen/verwijderen dmv van php.
Als je niet zorgt dat de phpbestanden maar beperkte toegang hebben dan kan je er inderdaad vanalles mee voorhebben.
ZOek maar eens op google naar php + view directory content ofzoiets en zet zo'n bestandje op je server...
Nu zie je tot welke mappen het bestand allemaal toegang heeft...
Ik hoop dat je dit bedoelde?

NOS policy - updated 01/04/03

Wat heb je zelf aan zoekwerk verricht? Het is hier niet de bedoeling dat wij als helpdesk / vraagbaak dienen, terwijl je er zelf niets voor doet. Lees de nos policy er maar op na. Op slot.

Oh, en btw, de security van een server gaat veel verder dan alleen php beveiligen...

Verwijderd schreef op 17 June 2003 @ 17:55:
Wat word er dan beschermt in de safe mode en hoe zet ik die aan?

Nou vond ik je vraag op zich nog wel okee, maar dit....

Hier: Features - Safe mode.

Kortom: ga eerst de documentatie eens goed doorlezen, en niet als excuus gebruiken dat je 'geen hacker' bent - wil je nou die bak beter beveiligen of niet? Dan zul je toch echt meer moeten leren over hoe het allemaal in elkaar steekt.

Misschien is deze site ook nog handig: phpadvisory.com.

Anyway, dit topic gaat nu wel dicht - het is hier namelijk geen helpdesk. Lees hierover ook de NOS policy - updated 01/04/03 eens door

Edit: sneller typen Wilke!!

[ Voor 3% gewijzigd door Wilke op 17-06-2003 18:02 ]