Ma Google legge pure /cgi-bin????

[phobos3576]

Oggi facevo delle ricerche su Google quando, ad un certo punto, mi è comparso il contenuto di un file di log presente nella directory /cgi-bin di un mio vecchio sito WEB hostato su un server Linux di Aruba!
Dopo alcune verifiche mi sono accorto che posso pure eseguire, dal browser, degli script CGI presenti in quella stessa directory!
Ma come è possibile una cosa del genere?
Aruba dice esplicitamente di impostare a 755 i permessi di tutti i file presenti in /cgi-bin, ma pensavo che non fosse consentito l'accesso a quella directory per qualunque utente.

Non che ci sia nulla di segreto da nascondere; si tratta di uno script CGI che mette i messaggi di un guestbook in un file temporaneo; poi io prelevo quei messaggi e li pubblico sul sito. Proprio per questo motivo non avevo posto molta attenzione al problema sicurezza.

[sid77]

Dopo alcune verifiche mi sono accorto che posso pure eseguire, dal browser, degli script CGI presenti in quella stessa directory!
Ma come è possibile una cosa del genere?

un cgi-bin per funzionare deve essere eseguibile
non è normale, invece, che la directory sia browsabile: l'unica "protezione" (passatemi il termine) offerta dal server per un cgi-bin è nasconderlo, ma una volta che viene chiamato via link sai dove trovarlo, tutto il resto che può venire in mente (controllo header, referrer chi più ne ha più ne metta) è a livello dell'applicativo.

[phobos3576]

un cgi-bin per funzionare deve essere eseguibile

Certo, ma mi sembra strano che chiunque possa entrare ed eseguire qualunque script.
E' anche vero che, nel mio caso, quello script è li a disposizione di chiunque voglia inviare un messaggio ad un guestbook; sono rimasto sorpreso per il fatto che Google sia andato a frugare proprio li. Google non trova mai ciò che dovrebbe trovare, e trova invece ciò che non dovrebbe!

[murdock]

un cgi-bin per funzionare deve essere eseguibile

Certo, ma mi sembra strano che chiunque possa entrare ed eseguire qualunque script.
E' anche vero che, nel mio caso, quello script è li a disposizione di chiunque voglia inviare un messaggio ad un guestbook; sono rimasto sorpreso per il fatto che Google sia andato a frugare proprio li. Google non trova mai ciò che dovrebbe trovare, e trova invece ciò che non dovrebbe!

Probabilmente Google è arrivato allo script tramite un link.

Saluti,
MuRdOcK

[phobos3576]

Probabilmente Google è arrivato allo script tramite un link.

Infatti, in un file HTML c'è l'indirizzo dello script da chiamare per leggere i messaggi del guestbook!
Ma Google poteva anche farsi gli affari suoi invece di andare a seguire proprio quell'indirizzo; mi sembrano tecniche di scansione un po troppo intrusive!

[murdock]

Infatti, in un file HTML c'è l'indirizzo dello script da chiamare per leggere i messaggi del guestbook!
Ma Google poteva anche farsi gli affari suoi invece di andare a seguire proprio quell'indirizzo; mi sembrano tecniche di scansione un po troppo intrusive!

In effetti lo è, ma d'altra parte è anche la potenza di Google. E' anche per questo che si utilizzano per proteggere gli scripts robe tipo Captcha.

Saluti,
MuRdOcK

[conraid]

Probabilmente Google è arrivato allo script tramite un link.

Infatti, in un file HTML c'è l'indirizzo dello script da chiamare per leggere i messaggi del guestbook!
Ma Google poteva anche farsi gli affari suoi invece di andare a seguire proprio quell'indirizzo; mi sembrano tecniche di scansione un po troppo intrusive!

Esiste il file robots.txt apposta per questo, e Google ne tiene conto.

[phobos3576]

Esiste il file robots.txt apposta per questo, e Google ne tiene conto.

Infatti ho pensato adesso di aggiungere una cosa del genere:

Codice: Seleziona tutto

User-agent: *
Disallow: /cgi-bin/

Sono molto scettico su questa soluzione visto che già parecchio tempo fa avevo letto che i vari motori di ricerca sono liberi di ignorare il file robots.txt!

[conraid]

Esiste il file robots.txt apposta per questo, e Google ne tiene conto.

Infatti ho pensato adesso di aggiungere una cosa del genere:

Codice: Seleziona tutto

User-agent: *
Disallow: /cgi-bin/

Sono molto scettico su questa soluzione visto che già parecchio tempo fa avevo letto che i vari motori di ricerca sono liberi di ignorare il file robots.txt!

Certo, ognuno fa come vuole. Ma quelli seri ne tengono conto.

Se hai la possibilità di modificare il cgi-bin, potresti mettere dei controlli, oppure mettere un .htaccess nella dir cgi-bin che ti esclude i motori.

Altrimenti nella root principale del sito qualcosa in .htaccess come

Codice: Seleziona tutto

SetEnvIfNoCase User-Agent "^Googlebot" no_page
<filesmatch "\.cgi$">
        Order Allow,Deny
        Allow from all
        Deny from env=no_page
</filesmatch>

L'ho buttato li, controllalo se decidi di provarlo

Insomma, hai molte strade, scegli quella che ti piace di più e che puoi fare

[phobos3576]

Proverò anche questa soluzione.

Thanks

[sardylan]

Se hai l'hosting su Aruba ed è hosting Linux, la directory è tranquillamente visibile... "Directory listing" non è abilitato (si abilita solo nella directory /listing), ma se uno ha il nome del cgi lo può tranquillamente aprire in un browser... L'ho notato anche io nel mio hosting...
Potresti provare a darli i permessi 750, ma a quel punto non potresti più eseguirlo...

[phobos3576]

Potresti provare a darli i permessi 750, ma a quel punto non potresti più eseguirlo...

Ma infatti quegli eseguibili li ho messi li con i permessi 755 a disposizione di chiunque; non c'è nessun problema se qualcuno esegue lo script direttamente dal browser anziché indirettamente quando entra nel sito.
Più che altro mi riferivo al fatto che questa situazione può rappresentare una seria falla per il proprio sito (non certo per Aruba che sicuramente sarà protetta dall'eventuale contenuto malevolo di un qualche script presente in /cgi-bin); un utente che riesce a risalire all'indirizzo di uno script CGI (vedendolo magari grazie ad un motore di ricerca), può eseguire quello stesso script in modo diretto aggirando tutto il meccanismo che era stato previsto da chi ha creato quel sito!

[sardylan]

Si... Quello è vero... Purtroppo Aruba ti da l'accesso direttamente alla root dei documenti per apache...
In altri provider è diverso... Accedi alla tua directory nella quale è presente una sub-directory chiamata www che è la vera root per documenti Apache... E la cgi-bin è fuori dalla www... Quindi sei a posto...

[conraid]

Al di la di come agisce il provider, un cgi (o php, asp, etc...) scritto bene deve poter essere lanciato con qualsiasi opzioni ed in qualsiasi modo senza fare danni. Purtroppo si tende a non fare controlli, a lasciare alla fortuna o alla configurazione del server la sicurezza. Ma IMHO è la prima cosa a cui pensare appena ci si accinge ad usare/scrivere un programma lato server

[sardylan]

Al di la di come agisce il provider, un cgi (o php, asp, etc...) scritto bene deve poter essere lanciato con qualsiasi opzioni ed in qualsiasi modo senza fare danni. Purtroppo si tende a non fare controlli, a lasciare alla fortuna o alla configurazione del server la sicurezza. Ma IMHO è la prima cosa a cui pensare appena ci si accinge ad usare/scrivere un programma lato server

Concordo in pieno!!!