16 839
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
16 839
https://lh3.googleusercontent.com/-eKxiOOD_bjQ/UBZL493pPBI/AAAAAAAAI7c/smrxRj6iSnQ/s800/image007.jpg
Kattints ide  ➜

Új Apache/PHP hiba az idei BlackHaten

2012.07.30. 10.58
https://lh3.googleusercontent.com/-eKxiOOD_bjQ/UBZL493pPBI/AAAAAAAAI7c/smrxRj6iSnQ/s800/image007.jpgA napokban megrendezésre került BlackHat konferencián az argentín Matías Katz és Maximiliano Soler bemutatta egy új eszközét, amely az Apache webszerverek könyvtárszerkezetének jogosultságaiért felelős .htaccess fájl hibáit képes kihasználni.

A Pythonban írt programjuk segítségével a rosszul konfigurált .htaccess állományokon keresztül letölthető a szerver szinte összes PHP állománya, ezáltal a támadó kezére juttatva az oldal hivatalosan nem publikus forráskódját.

A szoftver különlegessége, hogy az ilyen konferenciákon bemutatott új módszerek nagy részéhez képest nem csak laboratóriumi körülmények között, hanem az élesben futó webszerek nagy részén is tökéletesen működik.

A kreatívan csak HT exploit névre keresztelt eszköz azt a tulajdonságát használja ki az Apache/PHP duónak, miszerint amikor az Apache egy PHP alapú kérést kap, azt a .htaccess fájlon keresztül adja tovább egyenesen a PHP fordítónak. Mint tudjuk, ez történhet GET vagy POST metódusként. A trükk ott van, hogy ha nem szabványos bemenetet adunk a .htaccessnek, akkor azt ő jobb híján GET-ként értelmezi, aminek hatására a program le tudja tölteni a PHP állományokat a helyi számítógépünkre. Itt még nem áll meg a menet, ugyanis a program ezután felismeri a hivatkozásokat a letöltött fájlokban, és azokat követve, letölti az ott található állományokat is. Ezek után könnyen látható, hogy akár a honlapot kiszolgáló teljes PHP struktúra is megszerezhető, a benne rejlő autentikációs kódrészletekkel együtt, amit ismerve egy tapasztalt hacker könnyebben megtalálja a réseket.

Az eszköz készítői azt javasolják az Apache-ot használó weblapok üzemeltetőinek, hogy nézzék át a .htaccess direktívákat, és használják a LimitExcept utasítást a gyakoribb Limit helyett.
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)
Sokat fejlődik az új frissítéssel a Google Duo
Moduláris okostelefon érkezik a Honortól
2017‑re teljesen zöld energiára áll át a Google
Brutális részletesség: Teljes felbontású képek a Light 16 szenzoros kamerájából
Felkapott témák
Az egyik legnépszerűbb antivírus egyben a legrosszabb is
Ezek a jelenleg kapható legerősebb okostelefonok
2016 legjobb okostelefonjai - Sebességteszt
Android 1.0 Apple Pie vs. Android 7.1 Nougat
Melyik lesz 2017 legjobb okostelefonja?
Ingyenes nCore regisztráció - Újabb csalók próbálkoznak
Állásajánlatok
Game Designer
DevOps Team Leader
Project Manager on infrastructure field S&P
Linux rendszergazda / rendszermérnök
Junior Researcher position in computer graphics
Gyártástámogató mérnökségi projekt koordinátor 52741BR
Tesztmérnök