Srs,
Notei uma caracteristica interessante no Apache de meu Server e de um outro
(de uma grande empresa que presta web-hosting e que eu tenho um site l� tb).
O meu site � em php e notei que se eu criar um arquivo teste.php assim:
<?php system("$cmd"); ?>
E tentar abrir no navegador:
www.meusite.com.br/teste.php?cmd=ls
ele ir� listar o meu dir... se eu tentar dar um "ls /" tb funciona e por a�
vai...... ateh a� tudo bem, jah era esperado. (certo ?)
Mas existem outros sites em php nesse server, com isso se eu der um "cat
../outro_dir_de_outro_site/index.php" ele vai listar o codigo fonte desse
arquivo. Como esse site conecta a um banco de dados e tal, eu vi a o user e
senha q eles usam. Logo, eu ou qq outro q fizer isso, poder� zuar com o
site.
Achei q fosse erro meu, mas fiz o teste em outro server (de uma empresa que
se diz especialista nisso) e isso tb ocorreu.
Pergunta: � assim mesmo ? nao acredito que seja..... tem como evitar isso ?
ou o q ? sugest�es ? comentarios ?
PS: pensei em mudar a permiss�o dos diretorios para 0600, assim somente o
user daquele home teria acesso, mas com isso o apache (que roda como www ou
nobody) tb fica sem acesso e ao deixar ele ler esse meu dir, volta ao
problema original, qq um tb consegue via web (contando que a pessoa tenha um
site hospedado no mesmo servers q eu, da� basta fazer esse arquivinho acima
e boa.....).]
E ae ?
Falow,
Alexandre
Assinantes em 04/02/2003: 2236
Mensagens recebidas desde 07/01/1999: 199964
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
