Informacje z branży IT:
Serwisy społecznościowe stają się coraz bardziej opłacalnym źródłem dochodów, którego trzeba bronić przed coraz bardziej pomysłową konkurencją. Wiedzą o tym szefowie popularnego portalu o nazwie Facebook. Dlatego właśnie, prawnicy tej spółki złożyli niedawno pozew przeciwko brazylijskiej witrynie o nazwie Power.com.
Sun, 4 Jan 2009 14:30:58 +0100
Kilka dni temu firma Microsoft złożyła wniosek o przyznanie patentu na korzystanie z komputera w systemie pre-paid. Okazuje się jednak, że amerykański urząd nie przychylił się do próśb giganta z Redmond i podanie odrzucił.
Sun, 4 Jan 2009 12:16:41 +0100
W najnowszej publikacji "The Race for a New Game Machine", której autorami jest dwóch inżynierów z firmy IBM, pojawiła się bardzo ciekawa informacja o tym, że Sony w znacznej części pokryło koszt wyprodukowania procesora Xenon, który znalazł się w konkurencyjnej konsoli Xbox 360 od Microsoftu.
Sun, 4 Jan 2009 12:01:30 +0100
Porozmawiamy jakie są trendy w świecie wirusów komputerowych. Powiemy też jak skutecznie chronić nasz komputer przed spywarem i wirusami komputerowymi oraz innymi zagrożeniami z sieci. Naszymi gośćmi będą Olga Komuda, Adam Żelazko i Piotr Walas szef działu technicznego Panda Security.
Kurs programowania:
Rozdział 24. Installed as CGI binary
Possible attacks
Using PHP as a CGI binary is an option for setups that for some reason do not wish to integrate PHP as a module into server software (like Apache), or will use PHP with different kinds of CGI wrappers to create safe chroot and setuid environments for scripts. This setup usually involves installing executable PHP binary to the web server cgi-bin directory. CERT advisory CA-96.11 recommends against placing any interpreters into cgi-bin. Even if the PHP binary can be used as a standalone interpreter, PHP is designed to prevent the attacks this setup makes possible:
Accessing system files: http://my.host/cgi-bin/php?/etc/passwd
The query information in a URL after the question mark (?) is passed as command line arguments to the interpreter by the CGI interface. Usually interpreters open and execute the file specified as the first argument on the command line.
When invoked as a CGI binary, PHP refuses to interpret the command line arguments.
Accessing any web document on server: http://my.host/cgi-bin/php/secret/doc.html
The path information part of the URL after the PHP binary name, /secret/doc.html is conventionally used to specify the name of the file to be opened and interpreted by the CGI program. Usually some web server configuration directives (Apache: Action) are used to redirect requests to documents like http://my.host/secret/script.php to the PHP interpreter. With this setup, the web server first checks the access permissions to the directory /secret, and after that creates the redirected request http://my.host/cgi-bin/php/secret/script.php. Unfortunately, if the request is originally given in this form, no access checks are made by web server for file /secret/script.php, but only for the /cgi-bin/php file. This way any user able to access /cgi-bin/php is able to access any protected document on the web server.
In PHP, compile-time configuration option --enable-force-cgi-redirect and runtime configuration directives doc_root and user_dir can be used to prevent this attack, if the server document tree has any directories with access restrictions. See below for full the explanation of the different combinations.
| Poprzedni | Spis treści | Następny |
| General considerations | Początek rozdziału | Case 1: only public files served |
Kaspersky Lab, producent rozwiązań do ochrony danych, opublikował nowy artykuł analityczny pt. "Identyfikowanie botnetów rozsyłających spam z wykorzystaniem metody skoordynowanych dystrybucji".