Вопросы по безопасности своего сайта

0

0

Возник следующий вопросик:

Друг делает свой сайт. Делает для своего личного удовольствия, профессионалом в сфере IT никоим образом не является, и, поскольку сайт предназначен не для зарабатывания денег, профессионала нанять не может. Хостер предоставил ему стандартный набор: место собственно для сайта, блог, форум, ftp и инструмент управления (cPanel). На данный момент он столкнулся с необходимостью предоставить ряду активных посетителей возможность размещать свои файлы. Не придумано ничего лучше, чем дать каждому из них директорию с возможностью захода через ftp под определенным логином и паролем. ftp-сервер - PureFTP. Не знает ли кто-нибудь - могут ли в такой ситуации возникнуть серьезные проблемы с безопасностью? Secunia дает по PureFTP только одну уязвимость (и та DoS, что, честно говоря, не очень пугает, поскольку на фиг никому его сайт рушить не надо). Но все равно - слегка страшновато. Заранее благодарен а возможные ответы.

Ссылка

←	запрет dhcp

rlogin && kerberos

→

главное, не сделать так, что бы пользователи скрипты закакчивали вместо того, что предполагается.

ivlad ★★★★★
(21.10.05 10:52:07 MSD)

Ответ на: комментарий от ivlad 21.10.05 10:52:07 MSD

А как это можно запретить?

fagot ★★★★★
(21.10.05 11:35:15 MSD)

Ответ на: комментарий от fagot 21.10.05 11:35:15 MSD

Присоединяюсь к вопросу. Я туда башевый скрипт вполне успешно проаплоадил и, несмотря на умолчальный запрет на исполнение, 0755 радостно выставил. Я, конечно, не кульхацкер, а, прямо говоря, ламер, и из ftp файлы на исполнение на стороне сервера запускать не умею, но сама возможность проделывать все эти операции настораживает.

genmaxxx ★
(21.10.05 11:47:12 MSD) автор топика

Ответ на: комментарий от genmaxxx 21.10.05 11:47:12 MSD

Главное запретить апачу исполнять скрипты из upload директории см. .htaccess

Иначе могут залить перл,пхп,питон.. и .тд. скрипты и выполнить их на серваке

xnix ★★
(21.10.05 14:22:43 MSD)

Ответ на: комментарий от xnix 21.10.05 14:22:43 MSD

> Главное запретить апачу исполнять скрипты из upload директории см. .htaccess

О, спасибо, за совет. На нужную инструкцию в .htaccess, я полагаю, нашего ламеризма хватит. Еще какие-нибудь грабли возможны?

genmaxxx ★
(21.10.05 14:30:52 MSD) автор топика

Ответ на: комментарий от genmaxxx 21.10.05 14:30:52 MSD

>О, спасибо, за совет. На нужную инструкцию в .htaccess, я полагаю, нашего ламеризма хватит. Еще какие-нибудь грабли возможны?

Проверьте ВСЕ скриты на XSS, SQL-inj,php include vuln,fopen(),open()

В том числе и те которые дал пров. (форумы, гост. книги) -- поищите их на www.securitylab.ru

На скрипты надо в первую очередь обращать внимание, а не на сервак хостера, если его сломают ,уже ничего не поможет.

xnix ★★
(21.10.05 14:50:27 MSD)

Ответ на: комментарий от xnix 21.10.05 14:50:27 MSD

> Проверьте ВСЕ скриты на XSS, SQL-inj,php include vuln,fopen(),open()

> В том числе и те которые дал пров. (форумы, гост. книги) -- поищите их на www.securitylab.ru

> На скрипты надо в первую очередь обращать внимание, а не на сервак хостера, если его сломают ,уже ничего не поможет.

Хм, спасибо. Об этом мы как-то не думали, надо заняться на выходных. Правда, не думали, наверное, потому, что это - проблема хостера, по большей части, (в конфигурации форума и блога друг ничего не менял, своих скриптов не писал). Открытие доступа по FTP для посторонних - первое его изменение в дефолтной конфигурации. Отсюда и нервозность.

genmaxxx ★
(21.10.05 16:19:16 MSD) автор топика

Ссылка

Ответ на: комментарий от fagot 21.10.05 11:35:15 MSD

> А как это можно запретить?

Запрещать надо не загрузку исполняемых скриптов, а загрузку любых файлов в те каталоги, откуда апач может их запустить. Зависит от конфигурации апача.

Что касается .htaccess, то, если AllowOverride правильно выставить, то .htaccess может быть даже полезен. ;)

ivlad ★★★★★
(22.10.05 09:14:15 MSD)

Ответ на: комментарий от ivlad 22.10.05 09:14:15 MSD

> Запрещать надо не загрузку исполняемых скриптов, а загрузку любых файлов в те каталоги, откуда апач может их запустить. Зависит от конфигурации апача.

Ну, насколько, там вообще можно настроить апач (прямого доступа к настройке, как я уже упомянул там нет - только через конфигуратор cPanel), запуск скриптов в каталоге загрузки запрещен.

И благодарю всех откликнувшихся за разъяснения. :)

genmaxxx ★
(24.10.05 08:55:25 MSD) автор топика

Ссылка

Ответ на: комментарий от xnix 21.10.05 14:50:27 MSD

Ещё было бы неплохо фильтры поставить в те скрипты, что посылают инфу из браузера по почте. Они тоже м.б. источником неприятностей. Ну и фильтрация html, конечно же ;-)

r_asian ★☆☆
(24.10.05 10:38:26 MSD)

Ответ на: комментарий от r_asian 24.10.05 10:38:26 MSD

> Ещё было бы неплохо фильтры поставить в те скрипты, что посылают инфу из браузера по почте. Они тоже м.б. источником неприятностей. Ну и фильтрация html, конечно же ;-)

Можно тут чуть подробнее? Естественно, не требую рассказать по пунктам, что и как делать ;), но был бы признателен за наводку на нужные утилиты (литературу, в случае возможности их использования, я думаю найдем сами).

genmaxxx ★
(24.10.05 15:41:09 MSD) автор топика

Ответ на: комментарий от genmaxxx 24.10.05 15:41:09 MSD

Да какие тут больно утилиты. Заменяй "нехорошие символы" чем-нибудь, например @ на (at). угловые скобки на квадратные там и пр..

ereg_replace или ~s///g (или чем у тебя ещё движок дышит) тебе в помошь.

Главное - не товеряй тому, что приходит из браузера ;-)

anonymous
(25.10.05 19:42:57 MSD)

Ответ на: комментарий от anonymous 25.10.05 19:42:57 MSD

Спасибо, будем разбираться.

genmaxxx ★
(25.10.05 20:30:52 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	запрет dhcp

Security

rlogin && kerberos

→

Похожие темы