Foros del Web » Programando para Internet » PHP »

Seguridad php

Estas en el tema de Seguridad php en el foro de PHP en Foros del Web. Hace tiempo se publicó un bug que permitía la visualización y ejecución de archivos con Apache y PHP para Windows. La instalación típica de php ...
  #1 (permalink)  
Antiguo 12/03/2002, 06:22
 
Fecha de Ingreso: enero-2002
Mensajes: 64
Antigüedad: 15 años, 10 meses
Puntos: 0
Seguridad php

Hace tiempo se publicó un bug que permitía la visualización y ejecución de archivos con Apache y PHP para Windows.

La instalación típica de php en apache se realiza con las siguientes lineas en el httpd.conf:

ScriptAlias /php/ "c:/php/"
AddType application/x-httpd-php .php
Action application/x-httpd-php "/php/php.exe"

Pues de esta forma, gracias al scriptAlias se puede acceder a c:\php y ejecutar php.exe de la siguiente forma:
http://www.servidor.xxx/php/php.exe

Esto permitiría, por ejemplo, leer un fichero cualquiera del servidor:
http://www.servidor.xxx/php/php.exe?c:\winnt\repair\sam

Y muchas más cosas que que se le pueden ocurrir a cualquiera.

¿Cómo se puede configurar apache y php para evitar esto? Lo único que se me ocurrió fue cambiar el nombre del scriptalias y del ejecutable de php para que no fuera tan facil acceder al él, pero me gustaría saber si alguien me puede decir una más correcta de configurarlo de forma que sea imposible acceder al php.exe

Saludos y gracias.
  #2 (permalink)  
Antiguo 12/03/2002, 08:46
Avatar de Webstudio
Colaborador
 
Fecha de Ingreso: noviembre-2001
Ubicación: 127.0.0.1
Mensajes: 3.499
Antigüedad: 16 años
Puntos: 68
Re: Seguridad php

davids, la mejor manera de configurar el PHP con apache, es hacerlo como módulo del Server, de esa manera, no hay Scriptalias que valga.

Si quieres más información, visita este post de nuestro amigo Boomerangz : <a href='ir.asp?http://www.forosdelweb.com/mensaje.asp?id=58307' target='_blank'>http://www.forosdelweb.com/mensaje.asp?i...</a>.

Saludos.

<hr><font size=2 face="verdana">- Pablo Daniel Rigazzi (Webstudio)
<font size=1 color="#333333">COORDINADOR PROYECTO REGIONALIZACION ARGENTINA
Visita <a href="http://www.web-studio.com.ar" target="_blank">Web Studio</a> - Tutoriales Photoshop</fo
  #3 (permalink)  
Antiguo 12/03/2002, 10:43
 
Fecha de Ingreso: enero-2002
Mensajes: 64
Antigüedad: 15 años, 10 meses
Puntos: 0
Re: Seguridad php

Hola Pablo, muchas gracias por la respuesta. He estado viendo el post de Boomerangz y si no he entendido mal la instalación que propone es igual que la que yo tengo. Al instalarlo como módulo del servidor hay que crear el ScriptAlias /php/ con lo que se sigue teniendo acceso al php.exe. ¿o estoy equivocado?

Gracias
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 21:41.