Current time: 11-16-2024, 08:47 PM Hello There, Guest! (LoginRegister)


Thread Closed 
 
Thread Rating:
  • 0 Votes - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
[akzepziert] Frage zu exec()
Author Message
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #1
[akzepziert] Frage zu exec()
ich habe per default die exec() Funktion in php disabled ...
Ein Kunde nervt mich damit ständig und möcht dies in seiner php.ini disabled haben ...
Wirkt sich dies nur auf sein Web aus oder bestehen durch exec() ON weitere Sicherheitsrisiken die über sein Web hinausgehen können?
(This post was last modified: 11-10-2009 02:44 AM by fulltilt.)
11-09-2009 10:38 PM
Find all posts by this user
ephigenie Offline
Project Leader
*******
Administrators

Posts: 1,578
Joined: Oct 2006
Reputation: 15
Post: #2
RE: Frage zu exec()
er kann damit beliebige Kommandos als sein Vu user ausführen.

Wenn du also nicht sicher bist, das der User nicht irgendwelchen Mist machen kann bzw. dein Webserver 100% sicher ist (welcher ist das schon) dann lass es halt enabled.

Andrerseits empfehle ich dringend es abzuschalten.
11-09-2009 10:56 PM
Visit this user's website Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #3
RE: Frage zu exec()
Danke Dir - das sehe ich genau so.
Der Kunde behauptet das es sich nur auf sein Web auswirken kann und er die Verantwortung dafür hat ...

(11-09-2009 10:56 PM)ephigenie Wrote:  Wenn du also nicht sicher bist, das der User nicht irgendwelchen Mist machen kann bzw. dein Webserver 100% sicher ist (welcher ist das schon) dann lass es halt enabled.
11-09-2009 11:02 PM
Find all posts by this user
gOOvER Offline
Banned

Posts: 3,561
Joined: Jul 2007
Post: #4
RE: Frage zu exec()
Frag ihn doch mal, für was oder welches Script er es braucht. Es gibt ein paar Scripts, die laufen nicht ohne exec.
11-09-2009 11:15 PM
Visit this user's website Find all posts by this user
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #5
RE: Frage zu exec()
Ich sehe das lockerer - man kann garantiert irgendwie anders noch eine Möglichkeit finden, auf dem Server beliebige Programme auszuführen. Insofern ist es nur eine kleine Hürde, falls der Kunde tatsächlich was böses im Sinn hat.
auf der anderen Seite muss man exec erlauben, um zB. in TYPO3 alle grafischen Möglichkeiten zu benutzen...

Wichtig dürfte sein, abzusichern, dass der User vu20xx:vu20xx keinen grossen Schaden anrichten kann.

/J
11-09-2009 11:16 PM
Visit this user's website Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #6
RE: Frage zu exec()
er will ein Zencart Modul für backups installieren, hab ihm auch schon einen sql dump als Cron eingerichtet ... er möchte aber unbedingt diese Funktion in seinem backend haben.
Ich denke das unter Umständen bei exec() OFF eventl. auch Dateien über seinen zencart /tmp Folder von einem Angreifer ausgeführt können ...
11-09-2009 11:25 PM
Find all posts by this user
ephigenie Offline
Project Leader
*******
Administrators

Posts: 1,578
Joined: Oct 2006
Reputation: 15
Post: #7
RE: Frage zu exec()
dann lass ihn halt das Ganze noch in ein extra protected area packen.

Solange du deinen Server ordentlich wartest - und diesbezüglich deine Hausaufgaben gemacht hast, ist es schon eher im Rahmen des theorethischen, das ein Angreifer rausfindet, dass ausgerechnet der User Exec() darf + er dadurch noch an eine Lücke in deinem System kommt . Bissl Paranoid ist da schon auch dabei Wink
11-10-2009 02:33 AM
Visit this user's website Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #8
RE: Frage zu exec()
jaaa - dann lasse den User seine Backups machen Cool

(11-10-2009 02:33 AM)ephigenie Wrote:  Bissl Paranoid ist da schon auch dabei Wink
(This post was last modified: 11-10-2009 02:44 AM by fulltilt.)
11-10-2009 02:43 AM
Find all posts by this user
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #9
RE: [akzepziert] Frage zu exec()
akzeptiert = schliessen...
11-10-2009 02:52 AM
Visit this user's website Find all posts by this user
Thread Closed 


Forum Jump:


User(s) browsing this thread: 1 Guest(s)