Alexey Pechnikov -> [email protected] @ Fri, 12 Mar 2010
12:22:18 +0300:
>> AP> Пока что я не вижу, что вы добились, закрывая порт 80. Если кого-то
>> AP> сломают через php, то через него же и зальют любые нужные файлы, то
>> AP> же самое с апачем.
>>
>> "Ты пальцем покажи". Вот у тебя есть уязвимость, позволяющая выполнить
>> на сервере шелловскую команду. Любую. Но - stdin/stdout у нее в
>> /dev/null (у PHP может быть хуже, да, а в случае с уязвимостью в модуле
>> у апача или у твоего любимого AOL, скорее всего, будет именно так, если
>> ошибка не в mod_cgi). Вопрос. Какую команду ты будешь выполнять?
>>
>>
AP> Нечто, что принимает на stdin залитый через веб-интерфейс файл
/dev/null у нее stdin.
--
Кто первый встал, того и грабли
Д. Белявский
--
To UNSUBSCRIBE, email to [email protected]
with a subject of "unsubscribe". Trouble? Contact [email protected]
Archive: http://lists.debian.org/[email protected]
