Dateisystem Angriffe

Es gibt es eine Reihe an Möglichkeiten durch Angriffe auf das Dateisystem Schaden anzurichten, insbesondere in Shared-Hosting-Umgebungen:

  • Anzeige von Serverdaten (wie /etc/passwd, Konfigurationsdateien oder Logs)
  • Angriffe auf Session-Daten (normalerweise in /tmp)
  • Datei-Upload-Angriffe (z.b.bei unvalidiertem Avatar oder Dateiupload)

Da viele Provider darüberhinaus PHP mit dem Benutzerkonto "nobody" beim Apache gestartet haben, können Angriffe auf das Dateisystem oftmals den gesamten Server und nicht nur eine einzelne Präsenz betreffen.


Netzwerke