Joomla explorer, apache i dziura ???

**robertsza** · 28-11-2008, 20:09

Wysłane przez frico

Mam pytanie, jakie uprawnienia mają katalogi /data/chroot0x ? (w tym UID/GDI) i w jaki sposób zakładasz poszczególne katalogi (ftp, shell, www) ?

Bo teoretycznie Joomla Explorer powinien móc "łazić" po całym katalogu i podkatalogach przeznaczonych na www. Co oczywiście niekoniecznie jest dobre. W każdym razie sprawa jest interesująca i być może przydatna dla bezpieczeństwa niektórych serwisów.

Pozdrawiam
frico

ja mam podobny problem tylko serwer win2k3 i iis

xplorer włazi mi do katalogu nadrzędnego joomli i widzie wszystkie strony pomimo tego że na iiesie mam ustawiony katalog docelowy

jak to zablokować

pomocy

**woju** · 10-12-2008, 01:06

Na home.pl joomlaexplorer w ogóle nie chce działać.
I to pewnie dlatego, że chce wejść na wyższy poziom.
Co do tego nie ulega wątpliwości, że komponent na źle skonfigurowanych serwerach włazi na poziom wyżej w hierarchii katalogów. No to robi się z niego prawdziwie hakerskie narzędzie. Administrator serwera zawsze może np subdomeny zagnieżdzać w 2 poziomie podkatalogu czyli /user1/user1/.

**robertsza** · 10-12-2008, 01:32

ale jak to zablokowac na iiesie w win2k3
bo na linuxie problemu niema

**woju** · 10-12-2008, 03:14

Zrób subdomeny w podwójnie zagnieżdżonych katalogach.
a wirtualki aby nie wychodziły poza DocumentRoot.

**zwiastun** · 10-12-2008, 04:28

A nie mądrzej zrezygnować z tego komponentu? Do czego on Wam jest potrzebny? Jeśli do rozwiązania problemów z PHP w bezpiecznym trybie, to może
a) lepiej zmienić serwer, bo bezpieczny tryb jest "bezpieczny", ale z nazwy przede wszystkim - warto zajrzeć i zobaczyć, cona ten temat piszą projektanci PHP)
b) namówić admina, żeby "wybierał" (

) , co woli - niebezpieczny komponent czy "niebezpieczny tryb".
Rozumiem, że drugie raczej w rachubę nie wchodzi, ale kto wie...

**robertsza** · 10-12-2008, 08:55

Wysłane przez zwiastun

A nie mądrzej zrezygnować z tego komponentu? Do czego on Wam jest potrzebny? Jeśli do rozwiązania problemów z PHP w bezpiecznym trybie, to może
a) lepiej zmienić serwer, bo bezpieczny tryb jest "bezpieczny", ale z nazwy przede wszystkim - warto zajrzeć i zobaczyć, cona ten temat piszą projektanci PHP)
b) namówić admina, żeby "wybierał" (

) , co woli - niebezpieczny komponent czy "niebezpieczny tryb".
Rozumiem, że drugie raczej w rachubę nie wchodzi, ale kto wie...

WItam

ja go osobiście nie używam ale klienci mi go instalują sami razem z joomlą a tego upilnować nie mogę,
to może jest sposób żeby go zainstalować się nie dało albo żeby wcale nie działał

**zwiastun** · 10-12-2008, 10:49

No to wytłumaczyć klientom, że otwierają tylne drzwi do witryny i na serwer. Przecież durniami nie są, żeby nie zrozumieć!

Temat: Joomla explorer, apache i dziura ???

Przybornik

Widok

Reguły pisania