Pagina 1 di 2
Ma Google legge pure /cgi-bin????
Inviato: mer 21 mag 2008, 13:49
da phobos3576
Oggi facevo delle ricerche su Google quando, ad un certo punto, mi è comparso il contenuto di un file di log presente nella directory /cgi-bin di un mio vecchio sito WEB hostato su un server Linux di Aruba!
Dopo alcune verifiche mi sono accorto che posso pure eseguire, dal browser, degli script CGI presenti in quella stessa directory!
Ma come è possibile una cosa del genere?
Aruba dice esplicitamente di impostare a 755 i permessi di tutti i file presenti in /cgi-bin, ma pensavo che non fosse consentito l'accesso a quella directory per qualunque utente.
Non che ci sia nulla di segreto da nascondere; si tratta di uno script CGI che mette i messaggi di un guestbook in un file temporaneo; poi io prelevo quei messaggi e li pubblico sul sito. Proprio per questo motivo non avevo posto molta attenzione al problema sicurezza.
Re: Ma Google legge pure /cgi-bin????
Inviato: mer 21 mag 2008, 15:52
da sid77
phobos3576 ha scritto:Dopo alcune verifiche mi sono accorto che posso pure eseguire, dal browser, degli script CGI presenti in quella stessa directory!
Ma come è possibile una cosa del genere?
un cgi-bin per funzionare deve essere eseguibile

non è normale, invece, che la directory sia browsabile: l'unica "protezione" (passatemi il termine) offerta dal server per un cgi-bin è nasconderlo, ma una volta che viene chiamato via link sai dove trovarlo, tutto il resto che può venire in mente (controllo header, referrer chi più ne ha più ne metta) è a livello dell'applicativo.
Re: Ma Google legge pure /cgi-bin????
Inviato: mer 21 mag 2008, 16:03
da phobos3576
sid77 ha scritto:un cgi-bin per funzionare deve essere eseguibile

Certo, ma mi sembra strano che chiunque possa entrare ed eseguire qualunque script.
E' anche vero che, nel mio caso, quello script è li a disposizione di chiunque voglia inviare un messaggio ad un guestbook; sono rimasto sorpreso per il fatto che Google sia andato a frugare proprio li. Google non trova mai ciò che dovrebbe trovare, e trova invece ciò che non dovrebbe!
Re: Ma Google legge pure /cgi-bin????
Inviato: mer 21 mag 2008, 16:14
da murdock
phobos3576 ha scritto:sid77 ha scritto:un cgi-bin per funzionare deve essere eseguibile

Certo, ma mi sembra strano che chiunque possa entrare ed eseguire qualunque script.
E' anche vero che, nel mio caso, quello script è li a disposizione di chiunque voglia inviare un messaggio ad un guestbook; sono rimasto sorpreso per il fatto che Google sia andato a frugare proprio li. Google non trova mai ciò che dovrebbe trovare, e trova invece ciò che non dovrebbe!
Probabilmente Google è arrivato allo script tramite un link.
Saluti,
MuRdOcK
Re: Ma Google legge pure /cgi-bin????
Inviato: mer 21 mag 2008, 16:26
da phobos3576
murdock ha scritto:Probabilmente Google è arrivato allo script tramite un link.

Infatti, in un file HTML c'è l'indirizzo dello script da chiamare per leggere i messaggi del guestbook!
Ma Google poteva anche farsi gli affari suoi invece di andare a seguire proprio quell'indirizzo; mi sembrano tecniche di scansione un po troppo intrusive!
Re: Ma Google legge pure /cgi-bin????
Inviato: mer 21 mag 2008, 16:46
da murdock
phobos3576 ha scritto:
Infatti, in un file HTML c'è l'indirizzo dello script da chiamare per leggere i messaggi del guestbook!
Ma Google poteva anche farsi gli affari suoi invece di andare a seguire proprio quell'indirizzo; mi sembrano tecniche di scansione un po troppo intrusive!
In effetti lo è, ma d'altra parte è anche la potenza di Google. E' anche per questo che si utilizzano per proteggere gli scripts robe tipo Captcha.
Saluti,
MuRdOcK
Re: Ma Google legge pure /cgi-bin????
Inviato: mer 21 mag 2008, 18:15
da conraid
phobos3576 ha scritto:murdock ha scritto:Probabilmente Google è arrivato allo script tramite un link.

Infatti, in un file HTML c'è l'indirizzo dello script da chiamare per leggere i messaggi del guestbook!
Ma Google poteva anche farsi gli affari suoi invece di andare a seguire proprio quell'indirizzo; mi sembrano tecniche di scansione un po troppo intrusive!
Esiste il file robots.txt apposta per questo, e Google ne tiene conto.
Re: Ma Google legge pure /cgi-bin????
Inviato: mer 21 mag 2008, 19:29
da phobos3576
conraid ha scritto:Esiste il file robots.txt apposta per questo, e Google ne tiene conto.
Infatti ho pensato adesso di aggiungere una cosa del genere:
Sono molto scettico su questa soluzione visto che già parecchio tempo fa avevo letto che i vari motori di ricerca sono liberi di ignorare il file
robots.txt!
Re: Ma Google legge pure /cgi-bin????
Inviato: mer 21 mag 2008, 19:46
da conraid
phobos3576 ha scritto:conraid ha scritto:Esiste il file robots.txt apposta per questo, e Google ne tiene conto.
Infatti ho pensato adesso di aggiungere una cosa del genere:
Sono molto scettico su questa soluzione visto che già parecchio tempo fa avevo letto che i vari motori di ricerca sono liberi di ignorare il file
robots.txt!
Certo, ognuno fa come vuole. Ma quelli seri ne tengono conto.
Se hai la possibilità di modificare il cgi-bin, potresti mettere dei controlli, oppure mettere un .htaccess nella dir cgi-bin che ti esclude i motori.
Altrimenti nella root principale del sito qualcosa in .htaccess come
Codice: Seleziona tutto
SetEnvIfNoCase User-Agent "^Googlebot" no_page
<filesmatch "\.cgi$">
Order Allow,Deny
Allow from all
Deny from env=no_page
</filesmatch>
L'ho buttato li, controllalo se decidi di provarlo
Insomma, hai molte strade, scegli quella che ti piace di più e che puoi fare
Re: Ma Google legge pure /cgi-bin????
Inviato: mer 21 mag 2008, 19:50
da phobos3576
Proverò anche questa soluzione.
Thanks
Re: Ma Google legge pure /cgi-bin????
Inviato: gio 22 mag 2008, 11:32
da sardylan
Se hai l'hosting su Aruba ed è hosting Linux, la directory è tranquillamente visibile... "Directory listing" non è abilitato (si abilita solo nella directory /listing), ma se uno ha il nome del cgi lo può tranquillamente aprire in un browser... L'ho notato anche io nel mio hosting...
Potresti provare a darli i permessi 750, ma a quel punto non potresti più eseguirlo...
Re: Ma Google legge pure /cgi-bin????
Inviato: gio 22 mag 2008, 14:47
da phobos3576
sardylan ha scritto:Potresti provare a darli i permessi 750, ma a quel punto non potresti più eseguirlo...
Ma infatti quegli eseguibili li ho messi li con i permessi
755 a disposizione di chiunque; non c'è nessun problema se qualcuno esegue lo script direttamente dal browser anziché indirettamente quando entra nel sito.
Più che altro mi riferivo al fatto che questa situazione può rappresentare una seria falla per il proprio sito (non certo per Aruba che sicuramente sarà protetta dall'eventuale contenuto malevolo di un qualche script presente in
/cgi-bin); un utente che riesce a risalire all'indirizzo di uno script CGI (vedendolo magari grazie ad un motore di ricerca), può eseguire quello stesso script in modo diretto aggirando tutto il meccanismo che era stato previsto da chi ha creato quel sito!
Re: Ma Google legge pure /cgi-bin????
Inviato: gio 22 mag 2008, 15:05
da sardylan
Si... Quello è vero... Purtroppo Aruba ti da l'accesso direttamente alla root dei documenti per apache...
In altri provider è diverso... Accedi alla tua directory nella quale è presente una sub-directory chiamata www che è la vera root per documenti Apache... E la cgi-bin è fuori dalla www... Quindi sei a posto...
Re: Ma Google legge pure /cgi-bin????
Inviato: gio 22 mag 2008, 15:08
da conraid
Al di la di come agisce il provider, un cgi (o php, asp, etc...) scritto bene deve poter essere lanciato con qualsiasi opzioni ed in qualsiasi modo senza fare danni. Purtroppo si tende a non fare controlli, a lasciare alla fortuna o alla configurazione del server la sicurezza. Ma IMHO è la prima cosa a cui pensare appena ci si accinge ad usare/scrivere un programma lato server
Re: Ma Google legge pure /cgi-bin????
Inviato: ven 23 mag 2008, 10:53
da sardylan
conraid ha scritto:Al di la di come agisce il provider, un cgi (o php, asp, etc...) scritto bene deve poter essere lanciato con qualsiasi opzioni ed in qualsiasi modo senza fare danni. Purtroppo si tende a non fare controlli, a lasciare alla fortuna o alla configurazione del server la sicurezza. Ma IMHO è la prima cosa a cui pensare appena ci si accinge ad usare/scrivere un programma lato server
Concordo in pieno!!!