Solusan

Haciendo pruebas con el servidor y el PHP, me di cuenta de lo siguiente; una instrucción en PHP del tipo: (con las comillas invertidas), tenía una bonita web de mi fichero passwd :O.

Me puse a indagar sobre el tema y descubrí que hay que editar el fichero php.ini y cambiar la linea safe_mode off a on. Me parece algo importante puesto que en la instalación por defecto de PHP que realiza FreeBSD a mí me lo tenía activado. De esta forma no se ejecutará ningún comando de la shell.Otras formas de cerrar el agujero de seguridad de echo `cat /etc/passwd` es cerrando shellexec, exec, system… en php.ini (ver tutorial sobre seguridad en servidores web)

http://www.solusan.com/modules.php?name=News&file=article&sid=107

De:
http://www.eldemonio.org/docs/freebsd/serverweb.html

Compártelo!