Jak zjistit skutecne jmeno procesu - bug
petr tomasek
ostomas na roth.hul.huji.ac.il
Středa Únor 3 11:04:15 CET 1999
On Wed, 3 Feb 1999, Milan Sorm wrote:
:Mam dva uzivatele, rikejme jim A a B.
:
:A je zdatny uzivatel, udelal si web prostor zajisteny pomoci .htaccess
:jmenem a heslem a ma tam cgi skripty, ktere podle REMOTE_USER rozhoduji,
:jake informace uzivateli zobrazi.
:
:B je nechutny hacker, ktery udela CGI skript, ktery na zacatku udela export
:REMOTE_USER=nekdo
:
:pak se prepne do adresare A a spusti jeho skript (napr. index.cgi) ze
:zakazane oblasti.
:
:v tom okamziku uvidi stranku ze zabezpecene oblasti s opravnenimi toho, koho
:si zadal do REMOTE_USER.
:
:resenim je pouzivat suEXEC, ale to se deje malo kdy. tak jsem chtel udelat
:wrapper, ktery si overi, ze ppid je skutecne httpd nebo httpsd. jenze ten
:zly hacker mohl prepsat svuj argv[0] napisem httpd nebo httpsd a pak bych to
:nepoznal, proto potrebuju skutecne jmeno.
:
Hmmm... a neda se napriklad nejak rozumne zjisit, pod jakym uzivatelem
bezi www-server a kontrolovat toho uzivatele? (Napriklad vytvorenim
souboru a prectenim prav). Na dobre spravovanych systemech ma www-server
vlastniho uzivatele/skupinu.
BTW ten zly hacker by mohl jednoduse svuj program pojmenovat jako httpd, a
pak jste tak jak tak v haji....
--
Petr Tomasek <tomasek na etf.cuni.cz>
Phone: +972/50/978169
"The current release is year 2000 compliant,
and the next release will be even more year 2000 compliant."
Další informace o konferenci Linux