Repository 32bit  Forum
Repository 64bit  Wiki

Ma Google legge pure /cgi-bin????

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Ma Google legge pure /cgi-bin????

Messaggioda phobos3576 » mer mag 21, 2008 12:49

Oggi facevo delle ricerche su Google quando, ad un certo punto, mi è comparso il contenuto di un file di log presente nella directory /cgi-bin di un mio vecchio sito WEB hostato su un server Linux di Aruba!
Dopo alcune verifiche mi sono accorto che posso pure eseguire, dal browser, degli script CGI presenti in quella stessa directory!
Ma come è possibile una cosa del genere?
Aruba dice esplicitamente di impostare a 755 i permessi di tutti i file presenti in /cgi-bin, ma pensavo che non fosse consentito l'accesso a quella directory per qualunque utente.

Non che ci sia nulla di segreto da nascondere; si tratta di uno script CGI che mette i messaggi di un guestbook in un file temporaneo; poi io prelevo quei messaggi e li pubblico sul sito. Proprio per questo motivo non avevo posto molta attenzione al problema sicurezza.
Ultima modifica di phobos3576 il mer mag 21, 2008 15:28, modificato 1 volta in totale.
Avatar utente
phobos3576
Staff
Staff
 
Messaggi: 2980
Iscritto il: sab apr 16, 2005 23:00
Slackware: 13.1
Kernel: 2.6.37-smp
Desktop: KDE 4.5.3

Re: Ma Google legge pure /cgi-bin????

Messaggioda sid77 » mer mag 21, 2008 14:52

phobos3576 ha scritto:Dopo alcune verifiche mi sono accorto che posso pure eseguire, dal browser, degli script CGI presenti in quella stessa directory!
Ma come è possibile una cosa del genere?

un cgi-bin per funzionare deve essere eseguibile :)
non è normale, invece, che la directory sia browsabile: l'unica "protezione" (passatemi il termine) offerta dal server per un cgi-bin è nasconderlo, ma una volta che viene chiamato via link sai dove trovarlo, tutto il resto che può venire in mente (controllo header, referrer chi più ne ha più ne metta) è a livello dell'applicativo.
Avatar utente
sid77
Linux 2.6
Linux 2.6
 
Messaggi: 568
Iscritto il: mar mag 31, 2005 23:00
Località: PowerPC
Slackware: 12.0/12.1/curr (ppc)

Re: Ma Google legge pure /cgi-bin????

Messaggioda phobos3576 » mer mag 21, 2008 15:03

sid77 ha scritto:un cgi-bin per funzionare deve essere eseguibile :)

Certo, ma mi sembra strano che chiunque possa entrare ed eseguire qualunque script.
E' anche vero che, nel mio caso, quello script è li a disposizione di chiunque voglia inviare un messaggio ad un guestbook; sono rimasto sorpreso per il fatto che Google sia andato a frugare proprio li. Google non trova mai ciò che dovrebbe trovare, e trova invece ciò che non dovrebbe!
Avatar utente
phobos3576
Staff
Staff
 
Messaggi: 2980
Iscritto il: sab apr 16, 2005 23:00
Slackware: 13.1
Kernel: 2.6.37-smp
Desktop: KDE 4.5.3

Re: Ma Google legge pure /cgi-bin????

Messaggioda murdock » mer mag 21, 2008 15:14

phobos3576 ha scritto:
sid77 ha scritto:un cgi-bin per funzionare deve essere eseguibile :)

Certo, ma mi sembra strano che chiunque possa entrare ed eseguire qualunque script.
E' anche vero che, nel mio caso, quello script è li a disposizione di chiunque voglia inviare un messaggio ad un guestbook; sono rimasto sorpreso per il fatto che Google sia andato a frugare proprio li. Google non trova mai ciò che dovrebbe trovare, e trova invece ciò che non dovrebbe!


Probabilmente Google è arrivato allo script tramite un link. ;)

Saluti,
MuRdOcK
Avatar utente
murdock
Linux 2.4
Linux 2.4
 
Messaggi: 451
Iscritto il: ven mag 25, 2007 11:58
Slackware: 64 14.1
Kernel: 3.14.4
Desktop: KDE 4.12.5

Re: Ma Google legge pure /cgi-bin????

Messaggioda phobos3576 » mer mag 21, 2008 15:26

murdock ha scritto:Probabilmente Google è arrivato allo script tramite un link. ;)

Infatti, in un file HTML c'è l'indirizzo dello script da chiamare per leggere i messaggi del guestbook!
Ma Google poteva anche farsi gli affari suoi invece di andare a seguire proprio quell'indirizzo; mi sembrano tecniche di scansione un po troppo intrusive!
Avatar utente
phobos3576
Staff
Staff
 
Messaggi: 2980
Iscritto il: sab apr 16, 2005 23:00
Slackware: 13.1
Kernel: 2.6.37-smp
Desktop: KDE 4.5.3

Re: Ma Google legge pure /cgi-bin????

Messaggioda murdock » mer mag 21, 2008 15:46

phobos3576 ha scritto:Infatti, in un file HTML c'è l'indirizzo dello script da chiamare per leggere i messaggi del guestbook!
Ma Google poteva anche farsi gli affari suoi invece di andare a seguire proprio quell'indirizzo; mi sembrano tecniche di scansione un po troppo intrusive!

In effetti lo è, ma d'altra parte è anche la potenza di Google. E' anche per questo che si utilizzano per proteggere gli scripts robe tipo Captcha.

Saluti,
MuRdOcK
Avatar utente
murdock
Linux 2.4
Linux 2.4
 
Messaggi: 451
Iscritto il: ven mag 25, 2007 11:58
Slackware: 64 14.1
Kernel: 3.14.4
Desktop: KDE 4.12.5

Re: Ma Google legge pure /cgi-bin????

Messaggioda conraid » mer mag 21, 2008 17:15

phobos3576 ha scritto:
murdock ha scritto:Probabilmente Google è arrivato allo script tramite un link. ;)

Infatti, in un file HTML c'è l'indirizzo dello script da chiamare per leggere i messaggi del guestbook!
Ma Google poteva anche farsi gli affari suoi invece di andare a seguire proprio quell'indirizzo; mi sembrano tecniche di scansione un po troppo intrusive!


Esiste il file robots.txt apposta per questo, e Google ne tiene conto.
Avatar utente
conraid
Staff
Staff
 
Messaggi: 12001
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Re: Ma Google legge pure /cgi-bin????

Messaggioda phobos3576 » mer mag 21, 2008 18:29

conraid ha scritto:Esiste il file robots.txt apposta per questo, e Google ne tiene conto.

Infatti ho pensato adesso di aggiungere una cosa del genere:
Codice: Seleziona tutto
User-agent: *
Disallow: /cgi-bin/

Sono molto scettico su questa soluzione visto che già parecchio tempo fa avevo letto che i vari motori di ricerca sono liberi di ignorare il file robots.txt!
Avatar utente
phobos3576
Staff
Staff
 
Messaggi: 2980
Iscritto il: sab apr 16, 2005 23:00
Slackware: 13.1
Kernel: 2.6.37-smp
Desktop: KDE 4.5.3

Re: Ma Google legge pure /cgi-bin????

Messaggioda conraid » mer mag 21, 2008 18:46

phobos3576 ha scritto:
conraid ha scritto:Esiste il file robots.txt apposta per questo, e Google ne tiene conto.

Infatti ho pensato adesso di aggiungere una cosa del genere:
Codice: Seleziona tutto
User-agent: *
Disallow: /cgi-bin/

Sono molto scettico su questa soluzione visto che già parecchio tempo fa avevo letto che i vari motori di ricerca sono liberi di ignorare il file robots.txt!


Certo, ognuno fa come vuole. Ma quelli seri ne tengono conto.

Se hai la possibilità di modificare il cgi-bin, potresti mettere dei controlli, oppure mettere un .htaccess nella dir cgi-bin che ti esclude i motori.

Altrimenti nella root principale del sito qualcosa in .htaccess come

Codice: Seleziona tutto
SetEnvIfNoCase User-Agent "^Googlebot" no_page
<filesmatch "\.cgi$">
        Order Allow,Deny
        Allow from all
        Deny from env=no_page
</filesmatch>

L'ho buttato li, controllalo se decidi di provarlo

Insomma, hai molte strade, scegli quella che ti piace di più e che puoi fare
Avatar utente
conraid
Staff
Staff
 
Messaggi: 12001
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Re: Ma Google legge pure /cgi-bin????

Messaggioda phobos3576 » mer mag 21, 2008 18:50

Proverò anche questa soluzione.

Thanks
Avatar utente
phobos3576
Staff
Staff
 
Messaggi: 2980
Iscritto il: sab apr 16, 2005 23:00
Slackware: 13.1
Kernel: 2.6.37-smp
Desktop: KDE 4.5.3

Re: Ma Google legge pure /cgi-bin????

Messaggioda sardylan » gio mag 22, 2008 10:32

Se hai l'hosting su Aruba ed è hosting Linux, la directory è tranquillamente visibile... "Directory listing" non è abilitato (si abilita solo nella directory /listing), ma se uno ha il nome del cgi lo può tranquillamente aprire in un browser... L'ho notato anche io nel mio hosting...
Potresti provare a darli i permessi 750, ma a quel punto non potresti più eseguirlo...
Avatar utente
sardylan
Linux 2.6
Linux 2.6
 
Messaggi: 993
Iscritto il: mar apr 24, 2007 8:21
Località: Cagliari
Nome Cognome: Luca Cireddu
Slackware: current 64bits
Kernel: 3.16
Desktop: KDE 4.5.5
Distribuzione: Debian - CLFS

Re: Ma Google legge pure /cgi-bin????

Messaggioda phobos3576 » gio mag 22, 2008 13:47

sardylan ha scritto:Potresti provare a darli i permessi 750, ma a quel punto non potresti più eseguirlo...

Ma infatti quegli eseguibili li ho messi li con i permessi 755 a disposizione di chiunque; non c'è nessun problema se qualcuno esegue lo script direttamente dal browser anziché indirettamente quando entra nel sito.
Più che altro mi riferivo al fatto che questa situazione può rappresentare una seria falla per il proprio sito (non certo per Aruba che sicuramente sarà protetta dall'eventuale contenuto malevolo di un qualche script presente in /cgi-bin); un utente che riesce a risalire all'indirizzo di uno script CGI (vedendolo magari grazie ad un motore di ricerca), può eseguire quello stesso script in modo diretto aggirando tutto il meccanismo che era stato previsto da chi ha creato quel sito!
Avatar utente
phobos3576
Staff
Staff
 
Messaggi: 2980
Iscritto il: sab apr 16, 2005 23:00
Slackware: 13.1
Kernel: 2.6.37-smp
Desktop: KDE 4.5.3

Re: Ma Google legge pure /cgi-bin????

Messaggioda sardylan » gio mag 22, 2008 14:05

Si... Quello è vero... Purtroppo Aruba ti da l'accesso direttamente alla root dei documenti per apache...
In altri provider è diverso... Accedi alla tua directory nella quale è presente una sub-directory chiamata www che è la vera root per documenti Apache... E la cgi-bin è fuori dalla www... Quindi sei a posto...
Avatar utente
sardylan
Linux 2.6
Linux 2.6
 
Messaggi: 993
Iscritto il: mar apr 24, 2007 8:21
Località: Cagliari
Nome Cognome: Luca Cireddu
Slackware: current 64bits
Kernel: 3.16
Desktop: KDE 4.5.5
Distribuzione: Debian - CLFS

Re: Ma Google legge pure /cgi-bin????

Messaggioda conraid » gio mag 22, 2008 14:08

Al di la di come agisce il provider, un cgi (o php, asp, etc...) scritto bene deve poter essere lanciato con qualsiasi opzioni ed in qualsiasi modo senza fare danni. Purtroppo si tende a non fare controlli, a lasciare alla fortuna o alla configurazione del server la sicurezza. Ma IMHO è la prima cosa a cui pensare appena ci si accinge ad usare/scrivere un programma lato server
Avatar utente
conraid
Staff
Staff
 
Messaggi: 12001
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Re: Ma Google legge pure /cgi-bin????

Messaggioda sardylan » ven mag 23, 2008 9:53

conraid ha scritto:Al di la di come agisce il provider, un cgi (o php, asp, etc...) scritto bene deve poter essere lanciato con qualsiasi opzioni ed in qualsiasi modo senza fare danni. Purtroppo si tende a non fare controlli, a lasciare alla fortuna o alla configurazione del server la sicurezza. Ma IMHO è la prima cosa a cui pensare appena ci si accinge ad usare/scrivere un programma lato server

Concordo in pieno!!!
Avatar utente
sardylan
Linux 2.6
Linux 2.6
 
Messaggi: 993
Iscritto il: mar apr 24, 2007 8:21
Località: Cagliari
Nome Cognome: Luca Cireddu
Slackware: current 64bits
Kernel: 3.16
Desktop: KDE 4.5.5
Distribuzione: Debian - CLFS

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite