Ma Google legge pure /cgi-bin????
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
- phobos3576
- Staff
- Messaggi: 2980
- Iscritto il: dom 17 apr 2005, 0:00
- Slackware: 13.1
- Kernel: 2.6.37-smp
- Desktop: KDE 4.5.3
Ma Google legge pure /cgi-bin????
Oggi facevo delle ricerche su Google quando, ad un certo punto, mi è comparso il contenuto di un file di log presente nella directory /cgi-bin di un mio vecchio sito WEB hostato su un server Linux di Aruba!
Dopo alcune verifiche mi sono accorto che posso pure eseguire, dal browser, degli script CGI presenti in quella stessa directory!
Ma come è possibile una cosa del genere?
Aruba dice esplicitamente di impostare a 755 i permessi di tutti i file presenti in /cgi-bin, ma pensavo che non fosse consentito l'accesso a quella directory per qualunque utente.
Non che ci sia nulla di segreto da nascondere; si tratta di uno script CGI che mette i messaggi di un guestbook in un file temporaneo; poi io prelevo quei messaggi e li pubblico sul sito. Proprio per questo motivo non avevo posto molta attenzione al problema sicurezza.
Dopo alcune verifiche mi sono accorto che posso pure eseguire, dal browser, degli script CGI presenti in quella stessa directory!
Ma come è possibile una cosa del genere?
Aruba dice esplicitamente di impostare a 755 i permessi di tutti i file presenti in /cgi-bin, ma pensavo che non fosse consentito l'accesso a quella directory per qualunque utente.
Non che ci sia nulla di segreto da nascondere; si tratta di uno script CGI che mette i messaggi di un guestbook in un file temporaneo; poi io prelevo quei messaggi e li pubblico sul sito. Proprio per questo motivo non avevo posto molta attenzione al problema sicurezza.
Ultima modifica di phobos3576 il mer 21 mag 2008, 16:28, modificato 1 volta in totale.
- sid77
- Linux 3.x
- Messaggi: 568
- Iscritto il: mer 1 giu 2005, 0:00
- Slackware: 12.0/12.1/curr (ppc)
- Località: PowerPC
- Contatta:
Re: Ma Google legge pure /cgi-bin????
un cgi-bin per funzionare deve essere eseguibilephobos3576 ha scritto:Dopo alcune verifiche mi sono accorto che posso pure eseguire, dal browser, degli script CGI presenti in quella stessa directory!
Ma come è possibile una cosa del genere?
non è normale, invece, che la directory sia browsabile: l'unica "protezione" (passatemi il termine) offerta dal server per un cgi-bin è nasconderlo, ma una volta che viene chiamato via link sai dove trovarlo, tutto il resto che può venire in mente (controllo header, referrer chi più ne ha più ne metta) è a livello dell'applicativo.
- phobos3576
- Staff
- Messaggi: 2980
- Iscritto il: dom 17 apr 2005, 0:00
- Slackware: 13.1
- Kernel: 2.6.37-smp
- Desktop: KDE 4.5.3
Re: Ma Google legge pure /cgi-bin????
Certo, ma mi sembra strano che chiunque possa entrare ed eseguire qualunque script.sid77 ha scritto:un cgi-bin per funzionare deve essere eseguibile
E' anche vero che, nel mio caso, quello script è li a disposizione di chiunque voglia inviare un messaggio ad un guestbook; sono rimasto sorpreso per il fatto che Google sia andato a frugare proprio li. Google non trova mai ciò che dovrebbe trovare, e trova invece ciò che non dovrebbe!
- murdock
- Linux 2.x
- Messaggi: 477
- Iscritto il: ven 25 mag 2007, 12:58
- Slackware: 64 14.1
- Kernel: 3.18.3
- Desktop: KDE 4.14.3
- Contatta:
Re: Ma Google legge pure /cgi-bin????
Probabilmente Google è arrivato allo script tramite un link.phobos3576 ha scritto:Certo, ma mi sembra strano che chiunque possa entrare ed eseguire qualunque script.sid77 ha scritto:un cgi-bin per funzionare deve essere eseguibile
E' anche vero che, nel mio caso, quello script è li a disposizione di chiunque voglia inviare un messaggio ad un guestbook; sono rimasto sorpreso per il fatto che Google sia andato a frugare proprio li. Google non trova mai ciò che dovrebbe trovare, e trova invece ciò che non dovrebbe!
Saluti,
MuRdOcK
- phobos3576
- Staff
- Messaggi: 2980
- Iscritto il: dom 17 apr 2005, 0:00
- Slackware: 13.1
- Kernel: 2.6.37-smp
- Desktop: KDE 4.5.3
Re: Ma Google legge pure /cgi-bin????
Infatti, in un file HTML c'è l'indirizzo dello script da chiamare per leggere i messaggi del guestbook!murdock ha scritto:Probabilmente Google è arrivato allo script tramite un link.
Ma Google poteva anche farsi gli affari suoi invece di andare a seguire proprio quell'indirizzo; mi sembrano tecniche di scansione un po troppo intrusive!
- murdock
- Linux 2.x
- Messaggi: 477
- Iscritto il: ven 25 mag 2007, 12:58
- Slackware: 64 14.1
- Kernel: 3.18.3
- Desktop: KDE 4.14.3
- Contatta:
Re: Ma Google legge pure /cgi-bin????
In effetti lo è, ma d'altra parte è anche la potenza di Google. E' anche per questo che si utilizzano per proteggere gli scripts robe tipo Captcha.phobos3576 ha scritto: Infatti, in un file HTML c'è l'indirizzo dello script da chiamare per leggere i messaggi del guestbook!
Ma Google poteva anche farsi gli affari suoi invece di andare a seguire proprio quell'indirizzo; mi sembrano tecniche di scansione un po troppo intrusive!
Saluti,
MuRdOcK
- conraid
- Staff
- Messaggi: 13630
- Iscritto il: gio 14 lug 2005, 0:00
- Nome Cognome: Corrado Franco
- Slackware: current64
- Desktop: kde
- Località: Livorno
- Contatta:
Re: Ma Google legge pure /cgi-bin????
Esiste il file robots.txt apposta per questo, e Google ne tiene conto.phobos3576 ha scritto:Infatti, in un file HTML c'è l'indirizzo dello script da chiamare per leggere i messaggi del guestbook!murdock ha scritto:Probabilmente Google è arrivato allo script tramite un link.
Ma Google poteva anche farsi gli affari suoi invece di andare a seguire proprio quell'indirizzo; mi sembrano tecniche di scansione un po troppo intrusive!
- phobos3576
- Staff
- Messaggi: 2980
- Iscritto il: dom 17 apr 2005, 0:00
- Slackware: 13.1
- Kernel: 2.6.37-smp
- Desktop: KDE 4.5.3
Re: Ma Google legge pure /cgi-bin????
Infatti ho pensato adesso di aggiungere una cosa del genere:conraid ha scritto:Esiste il file robots.txt apposta per questo, e Google ne tiene conto.
Codice: Seleziona tutto
User-agent: *
Disallow: /cgi-bin/
- conraid
- Staff
- Messaggi: 13630
- Iscritto il: gio 14 lug 2005, 0:00
- Nome Cognome: Corrado Franco
- Slackware: current64
- Desktop: kde
- Località: Livorno
- Contatta:
Re: Ma Google legge pure /cgi-bin????
Certo, ognuno fa come vuole. Ma quelli seri ne tengono conto.phobos3576 ha scritto:Infatti ho pensato adesso di aggiungere una cosa del genere:conraid ha scritto:Esiste il file robots.txt apposta per questo, e Google ne tiene conto.Sono molto scettico su questa soluzione visto che già parecchio tempo fa avevo letto che i vari motori di ricerca sono liberi di ignorare il file robots.txt!Codice: Seleziona tutto
User-agent: * Disallow: /cgi-bin/
Se hai la possibilità di modificare il cgi-bin, potresti mettere dei controlli, oppure mettere un .htaccess nella dir cgi-bin che ti esclude i motori.
Altrimenti nella root principale del sito qualcosa in .htaccess come
Codice: Seleziona tutto
SetEnvIfNoCase User-Agent "^Googlebot" no_page
<filesmatch "\.cgi$">
Order Allow,Deny
Allow from all
Deny from env=no_page
</filesmatch>
Insomma, hai molte strade, scegli quella che ti piace di più e che puoi fare
- phobos3576
- Staff
- Messaggi: 2980
- Iscritto il: dom 17 apr 2005, 0:00
- Slackware: 13.1
- Kernel: 2.6.37-smp
- Desktop: KDE 4.5.3
Re: Ma Google legge pure /cgi-bin????
Proverò anche questa soluzione.
Thanks
Thanks
- sardylan
- Linux 3.x
- Messaggi: 993
- Iscritto il: mar 24 apr 2007, 9:21
- Nome Cognome: Luca Cireddu
- Slackware: current 64bits
- Kernel: 3.16
- Desktop: KDE 4.14
- Distribuzione: Debian - CLFS
- Località: Cagliari
- Contatta:
Re: Ma Google legge pure /cgi-bin????
Se hai l'hosting su Aruba ed è hosting Linux, la directory è tranquillamente visibile... "Directory listing" non è abilitato (si abilita solo nella directory /listing), ma se uno ha il nome del cgi lo può tranquillamente aprire in un browser... L'ho notato anche io nel mio hosting...
Potresti provare a darli i permessi 750, ma a quel punto non potresti più eseguirlo...
Potresti provare a darli i permessi 750, ma a quel punto non potresti più eseguirlo...
- phobos3576
- Staff
- Messaggi: 2980
- Iscritto il: dom 17 apr 2005, 0:00
- Slackware: 13.1
- Kernel: 2.6.37-smp
- Desktop: KDE 4.5.3
Re: Ma Google legge pure /cgi-bin????
Ma infatti quegli eseguibili li ho messi li con i permessi 755 a disposizione di chiunque; non c'è nessun problema se qualcuno esegue lo script direttamente dal browser anziché indirettamente quando entra nel sito.sardylan ha scritto:Potresti provare a darli i permessi 750, ma a quel punto non potresti più eseguirlo...
Più che altro mi riferivo al fatto che questa situazione può rappresentare una seria falla per il proprio sito (non certo per Aruba che sicuramente sarà protetta dall'eventuale contenuto malevolo di un qualche script presente in /cgi-bin); un utente che riesce a risalire all'indirizzo di uno script CGI (vedendolo magari grazie ad un motore di ricerca), può eseguire quello stesso script in modo diretto aggirando tutto il meccanismo che era stato previsto da chi ha creato quel sito!
- sardylan
- Linux 3.x
- Messaggi: 993
- Iscritto il: mar 24 apr 2007, 9:21
- Nome Cognome: Luca Cireddu
- Slackware: current 64bits
- Kernel: 3.16
- Desktop: KDE 4.14
- Distribuzione: Debian - CLFS
- Località: Cagliari
- Contatta:
Re: Ma Google legge pure /cgi-bin????
Si... Quello è vero... Purtroppo Aruba ti da l'accesso direttamente alla root dei documenti per apache...
In altri provider è diverso... Accedi alla tua directory nella quale è presente una sub-directory chiamata www che è la vera root per documenti Apache... E la cgi-bin è fuori dalla www... Quindi sei a posto...
In altri provider è diverso... Accedi alla tua directory nella quale è presente una sub-directory chiamata www che è la vera root per documenti Apache... E la cgi-bin è fuori dalla www... Quindi sei a posto...
- conraid
- Staff
- Messaggi: 13630
- Iscritto il: gio 14 lug 2005, 0:00
- Nome Cognome: Corrado Franco
- Slackware: current64
- Desktop: kde
- Località: Livorno
- Contatta:
Re: Ma Google legge pure /cgi-bin????
Al di la di come agisce il provider, un cgi (o php, asp, etc...) scritto bene deve poter essere lanciato con qualsiasi opzioni ed in qualsiasi modo senza fare danni. Purtroppo si tende a non fare controlli, a lasciare alla fortuna o alla configurazione del server la sicurezza. Ma IMHO è la prima cosa a cui pensare appena ci si accinge ad usare/scrivere un programma lato server
- sardylan
- Linux 3.x
- Messaggi: 993
- Iscritto il: mar 24 apr 2007, 9:21
- Nome Cognome: Luca Cireddu
- Slackware: current 64bits
- Kernel: 3.16
- Desktop: KDE 4.14
- Distribuzione: Debian - CLFS
- Località: Cagliari
- Contatta:
Re: Ma Google legge pure /cgi-bin????
Concordo in pieno!!!conraid ha scritto:Al di la di come agisce il provider, un cgi (o php, asp, etc...) scritto bene deve poter essere lanciato con qualsiasi opzioni ed in qualsiasi modo senza fare danni. Purtroppo si tende a non fare controlli, a lasciare alla fortuna o alla configurazione del server la sicurezza. Ma IMHO è la prima cosa a cui pensare appena ci si accinge ad usare/scrivere un programma lato server