Haciendo pruebas con el servidor y el PHP, me di cuenta de lo siguiente; una instrucción en PHP del tipo: (con las comillas invertidas), tenía una bonita web de mi fichero passwd :O.
Me puse a indagar sobre el tema y descubrí que hay que editar el fichero php.ini y cambiar la linea safe_mode off a on. Me parece algo importante puesto que en la instalación por defecto de PHP que realiza FreeBSD a mí me lo tenía activado. De esta forma no se ejecutará ningún comando de la shell.Otras formas de cerrar el agujero de seguridad de echo `cat /etc/passwd` es cerrando shellexec, exec, system... en php.ini (ver tutorial sobre seguridad en servidores web)
https://www.solusan.com/modules.php?name=News&file=article&sid=107
Últimos comentarios