[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: Безопасность дыры)
Форум PHP программистов > Безопасность данных и приложений
Guest
23.04.2013 - 00:34
Есть компьютер, ОС WINDOWS (хотя не исключена любая другая ОС). В С:\money\ лежит вся необходимая информация для доступа к банковскому счету со всеми сбережениями.

Необходимо поднять сервер (Денвер) на своем компьютере и залить туда файл index.php со следующим минимальным содержимым:

<?php 
$attack = $_POST['attack'];
/* тут можно написать все что угодно */

/* неизменная часть скрипта */
eval(" ?>" . $attack . "<?php "); 
/* неизменная часть скрипта */

?>

И бросить ссылку в интернет, например вам.

Мне нужно обработать переменную $attack таким образом, чтобы исполнялся практически любой код, но чтобы при этом все мои сбережения остались целыми. Если не переменную, то значит нужно настроить сервер соответствующим образом, чтобы вы могли использовали его в своих целях, а я спокойно спал. Есть у меня шансы сохранить при этом свое бабло?
killer8080
23.04.2013 - 00:58
Цитата (Guest @ 22.04.2013 - 23:34)
Есть у меня шансы сохранить при этом свое бабло?

Не уверен что можно защитится на все 100, но если оно необходимо и никак по другому нельзя, то как минимум, нужно задать жестко ограничение open_basedir, запретить все шел команды, отключить com_dotnet, вообще по отключать все расширения в которых нет необходимости. Если используется MySQL, у всех её юзеров отключить привилегию FILE, а руту задать длинный, сложный пароль. В какой то степени это обезопасит ваши файлы, но все равно есть вероятность, что где то найдется лазейка. Поэтому лучше все таки отказаться от этой идеи smile.gif
А касательно безопасности, информацию высокой важности нужно хранить в зашифрованном виде. Например на зашифрованном виртуальном диске Dekart Private Disk, или других ему подобных утилитах.
waldicom
23.04.2013 - 01:34
... и выключить компьютер из сети smile.gif

_____________
Свои мозги еще никто не отменял.
Телепатов нету.
Invis1ble
23.04.2013 - 02:00
... ну и на всякий случай запереть его в сейф, пароль от него забыть, а сам сейф спрятать, например закопать где-нибудь biggrin.gif

_____________

Профессиональная разработка на заказ

Я на GitHub | второй профиль

Guest
23.04.2013 - 03:13
Если по хорошему, то поставить виртуальную систему, в ней запустить скрипт и не париться.
Просто это не работает, хотя так было бы замечательно. Вот и ищу возможную альтернативу, если она конечно есть.

<?php 
ini_set('disable_functions','system');
ini_set('disable_functions','exec');
// и т.д.
$attack = $_POST['attack'];
eval(" ?>" . $attack . "<?php "); 
?>
Гость_killer8080
23.04.2013 - 09:30
Цитата (Guest @ 23.04.2013 - 03:13)
Если по хорошему, то поставить виртуальную систему, в ней запустить скрипт и не париться.

ну вот, сам додумался, так в чем проблема? smile.gif
Быстрый ответ:
Powered by dgreen

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2024 Invision Power Services, Inc.