Форум на Kuban.ru (http://forums.kuban.ru/)
-   Сети и их администрирование (http://forums.kuban.ru/f1029/)
-   -   могут ли быть у апача уязвимости, (http://forums.kuban.ru/f1029/mogut_li_byt-_u_apacha_uyazvimosti-6724133.html)

fanatnascar 15.04.2015 18:20
могут ли быть у апача уязвимости,
 
Позволяющие обойти basic auth директивы в .htaccess?

wladuha 16.04.2015 09:27
как то пинтестеры сломали веб интерфейс от трафиксчиталки с бэйсик авторизацией, Правда там пассворд был относительно простой(6 букв_6 цифр) и уже от туда запустили эксплойт под утечку памяти, сервер начал пердеть и к концу дня помер.
Ребята получили деньги за работу, я много думал. С тех пор ACL + basic + постоянные обновления безопасности.

fanatnascar 16.04.2015 09:49
1-wladuha >вот и я думаю.. Пароль 20 символов, генереный..

Перпетум Мобиле 16.04.2015 10:09
2-Фанат NASCAR > пароль можно генерить в уме. Берешь пару слов русских и набиваешь слитно не меняя раскладку на русскую. Там такая мешанина букв получается.

Вот например Gjghj,eq7EuflfQ чем не пароль ? :)

Добрых дел мастер 16.04.2015 11:58
[quote=Перпетум Мобиле;38697397]ароль можно генерить в уме. Берешь пару слов русских и набиваешь слитно не меняя раскладку на русскую. Там такая мешанина букв получается. Вот например Gjghj,eq7EuflfQ чем не пароль ? :) [/quote]
Это словарный пароль. Пусть, не из самого популярного словаря, но все-таки. На серваке перебирать, наверное, сложновато, но если уведут хеш - нефиг делать.

napnap 23.04.2015 09:54
Если через web на этом сервер доступно что-то еще, то через дырки в нем при некорректной настройке прав могут прочитать .htpasswd

Ну и не стоит забывать, что летает этот пароль plain text'ом.

Или стырить с клиентской машины сохраненный в браузере пароль.

fanatnascar 23.04.2015 10:57
5-Напас Напасович >htpasswd вне области webroot.
Про стырить пока самый вменяемый вариант из возможных.
Там два этапа аунтификации. Про второй не понять, заюзали или нет. Видна только попытка.
Но то, что ответ 200, говорит - basic auth был преодолен. Для этого из htaccess были изъяты соответствующие строки.
По ssh левых подключений не было.

napnap 23.04.2015 19:53
[quote=Фанат NASCAR;38774539]htpasswd вне области webroot. [/quote]

И что? Если дырявые скрипты позволяют выполнение команд, то им доступен весь /

droidman 23.04.2015 22:17
Весь / может быть в чруте ;)

napnap 23.04.2015 22:19
8-droidman > Про chroot и прочие selinux'ы в задаче ни слова.

fanatnascar 23.04.2015 22:45
7-Напас Напасович >напомню про apache basic auth и htpasswd
8-droidman >никаких чрутов

fanatnascar 23.04.2015 22:51
+ разжую. Чтобы получить доступ к дырявым скриптам, надо ввести пароль механизму, который контролирует httpd.

napnap 23.04.2015 23:18
10-Фанат NASCAR > Еще раз перечитай.

[quote=Напас Напасович;38773538]Если через web на этом сервер доступно что-то еще[/quote]

napnap 23.04.2015 23:20
Образно, на //server/topsecret/ твоя тулза под защитой basic auth, а на //server/wp/ дырявый wordpress через который имеется весь сервак.

Так доступно?

fanatnascar 24.04.2015 00:05
13-Напас Напасович >таких мест нет.


Текущее время: 11:29. Часовой пояс GMT +3.