
12/03/2002, 06:22
|
| | Fecha de Ingreso: enero-2002
Mensajes: 64
Antigüedad: 23 años, 1 mes Puntos: 0 | |
Seguridad php Hace tiempo se publicó un bug que permitía la visualización y ejecución de archivos con Apache y PHP para Windows.
La instalación típica de php en apache se realiza con las siguientes lineas en el httpd.conf:
ScriptAlias /php/ "c:/php/"
AddType application/x-httpd-php .php
Action application/x-httpd-php "/php/php.exe"
Pues de esta forma, gracias al scriptAlias se puede acceder a c:\php y ejecutar php.exe de la siguiente forma:
http://www.servidor.xxx/php/php.exe
Esto permitiría, por ejemplo, leer un fichero cualquiera del servidor:
http://www.servidor.xxx/php/php.exe?c:\winnt\repair\sam
Y muchas más cosas que que se le pueden ocurrir a cualquiera.
¿Cómo se puede configurar apache y php para evitar esto? Lo único que se me ocurrió fue cambiar el nombre del scriptalias y del ejecutable de php para que no fuera tan facil acceder al él, pero me gustaría saber si alguien me puede decir una más correcta de configurarlo de forma que sea imposible acceder al php.exe
Saludos y gracias. |