アカウント名:
パスワード:
bashがweb serverのユーザーでアクセスできるのだとすれば、apacheをroot で動かしていない限りは、問題は限定的では?rm -rf / しても全部消えないから始末が悪いとも言えますが。
シェルコード送り込んで、ぱっと見区別つかない名前で常駐させるだろうな。既存のシェルが変更出来そうならそいつに仕込むし。パーミッションしか保護する方法無いでしょ?
コードサイニング証明書でシェルに署名する仕組みとか、署名なしのファイル実行ブロックする仕組みってあるんだろうか。。
ブラウザのUser-Agentを操作して、こんなのとか?
() { :; }; rm -rf /
クラッカーはデータぶっこ抜きや踏み台が目的なんだからrootなんか取れなくても良いでしょ。system関数使ったら任意のスクリプトを置かれて終了でござる。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
web serverのユーザーでアクセス? (スコア:0)
bashがweb serverのユーザーでアクセスできるのだとすれば、
apacheをroot で動かしていない限りは、問題は限定的では?
rm -rf / しても全部消えないから始末が悪いとも言えますが。
Re: (スコア:0)
シェルコード送り込んで、ぱっと見区別つかない名前で常駐させるだろうな。
既存のシェルが変更出来そうならそいつに仕込むし。
パーミッションしか保護する方法無いでしょ?
コードサイニング証明書でシェルに署名する仕組みとか、署名なしのファイル実行ブロックする仕組みってあるんだろうか。。
Re: (スコア:0)
ブラウザのUser-Agentを操作して、こんなのとか?
() { :; }; rm -rf /
Re: (スコア:0)
クラッカーはデータぶっこ抜きや踏み台が目的なんだからrootなんか取れなくても良いでしょ。
system関数使ったら任意のスクリプトを置かれて終了でござる。