* [Comm] apache и php-инклюды
@ 2008-04-05 16:29 Владимир Леонидов
2008-04-06 12:46 ` Vladimir V. Kamarzin
0 siblings, 1 reply; 6+ messages in thread
From: Владимир Леонидов @ 2008-04-05 16:29 UTC (permalink / raw)
To: ALT Linux Community general discussions
Мне нужно подключить заголовок страницы с помощью php.
Делаю это так:
<?php include_once("http://".$_SERVER['SERVER_NAME']."/inc/top.php");?>
При просмотре страницы в браузере, её исходный код обрывается как раз
перед этой строкой.
Что говорит лог:
[Sat Apr 05 20:22:12 2008] [error] [client 127.0.0.1] ALERT - Include
filename ('http://localhost/inc/top.php') is an URL that is not
allowed (attacker '127.0.0.1', file '/var/www/apache2/html/index.php',
line 11)
Как мне разрешить этот URL?
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] apache и php-инклюды
2008-04-05 16:29 [Comm] apache и php-инклюды Владимир Леонидов
@ 2008-04-06 12:46 ` Vladimir V. Kamarzin
2008-04-06 14:35 ` Michael Bochkaryov
0 siblings, 1 reply; 6+ messages in thread
From: Vladimir V. Kamarzin @ 2008-04-06 12:46 UTC (permalink / raw)
To: community
>>>>> On 05 Апр 2008 at 22:29 "ВЛ" == Владимир Леонидов writes:
ВЛ> Мне нужно подключить заголовок страницы с помощью php.
ВЛ> Делаю это так:
ВЛ> <?php include_once("http://".$_SERVER['SERVER_NAME']."/inc/top.php");?>
ВЛ> Что говорит лог:
ВЛ> [Sat Apr 05 20:22:12 2008] [error] [client 127.0.0.1] ALERT - Include
ВЛ> filename ('http://localhost/inc/top.php') is an URL that is not
ВЛ> allowed (attacker '127.0.0.1', file '/var/www/apache2/html/index.php',
ВЛ> line 11)
ВЛ> Как мне разрешить этот URL?
Это allow_url_fopen выключен по дефолту в php.ini
--
VM> Hаучите пожалуйста, как настpоить AutoCAD 2002 на ноpмальную pаботу
VM> под пользователем не имеющим администpатоpских пpав на компьютеpе
Эхотажный способ: сломать винду RPC-xploit'ом и получить эти самые права
админа. И настроить автокад.
-- Vladimir 'DarkSide' Mikhaylenko in RU.NETHACK
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] apache и php-инклюды
2008-04-06 12:46 ` Vladimir V. Kamarzin
@ 2008-04-06 14:35 ` Michael Bochkaryov
2008-04-06 14:59 ` Nikolay A. Fetisov
0 siblings, 1 reply; 6+ messages in thread
From: Michael Bochkaryov @ 2008-04-06 14:35 UTC (permalink / raw)
To: ALT Linux Community general discussions
On Sun, Apr 06, 2008 at 06:46:30PM +0600, Vladimir V. Kamarzin wrote:
> >>>>> On 05 Апр 2008 at 22:29 "ВЛ" == Владимир Леонидов writes:
>
> ВЛ> Мне нужно подключить заголовок страницы с помощью php.
> ВЛ> Делаю это так:
> ВЛ> <?php include_once("http://".$_SERVER['SERVER_NAME']."/inc/top.php");?>
>
> ВЛ> Что говорит лог:
> ВЛ> [Sat Apr 05 20:22:12 2008] [error] [client 127.0.0.1] ALERT - Include
> ВЛ> filename ('http://localhost/inc/top.php') is an URL that is not
> ВЛ> allowed (attacker '127.0.0.1', file '/var/www/apache2/html/index.php',
> ВЛ> line 11)
> ВЛ> Как мне разрешить этот URL?
>
> Это allow_url_fopen выключен по дефолту в php.ini
Вот только так лучше не делать, если заведомо не знаешь, накой
устраивать себе в системе большую дырень своими же руками :)
В данном случае я бы рекомендовал инклудить не URL, а локальный файл.
Опять же, это куда быстрее работать будет ;-)
--
Michael Bochkaryov
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] apache и php-инклюды
2008-04-06 14:35 ` Michael Bochkaryov
@ 2008-04-06 14:59 ` Nikolay A. Fetisov
2008-04-07 4:38 ` Michael Bochkaryov
0 siblings, 1 reply; 6+ messages in thread
From: Nikolay A. Fetisov @ 2008-04-06 14:59 UTC (permalink / raw)
To: community
On Sun, 6 Apr 2008 17:35:21 +0300
Michael Bochkaryov wrote:
> > >>>>> On 05 Апр 2008 at 22:29 "ВЛ" == Владимир Леонидов writes:
> > ВЛ> Мне нужно подключить заголовок страницы с помощью php.
> > ВЛ> Делаю это так:
> > ВЛ> <?php include_once("http://".$_SERVER['SERVER_NAME']."/inc/top.php");?>
> ...
> Вот только так лучше не делать, если заведомо не знаешь, накой
> устраивать себе в системе большую дырень своими же руками :)
Это не дырень, это DoS. Поскольку из процесса веб-сервера
устанавливается соединение к этому же веб-серверу. В итоге, при малых
значениях MaxClients в настройках сервера легко возникает ситуация,
когда при вызове include() не оказывается свободных процессов, а при
больших - из-за большого числа параллельно живущих процессов
Apachе начинает резко расти время работы скрипта - и при нагрузке всё
едино перестаёт хватать MaxClients.
Так что - надо убирать такой вызов в любом случае.
--
С уважением,
Николай Фетисов
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] apache и php-инклюды
2008-04-06 14:59 ` Nikolay A. Fetisov
@ 2008-04-07 4:38 ` Michael Bochkaryov
2008-04-07 6:05 ` Nikolay A. Fetisov
0 siblings, 1 reply; 6+ messages in thread
From: Michael Bochkaryov @ 2008-04-07 4:38 UTC (permalink / raw)
To: ALT Linux Community general discussions
On Sun, Apr 06, 2008 at 06:59:12PM +0400, Nikolay A. Fetisov wrote:
> On Sun, 6 Apr 2008 17:35:21 +0300
> Michael Bochkaryov wrote:
>
> > > >>>>> On 05 Апр 2008 at 22:29 "ВЛ" == Владимир Леонидов writes:
> > > ВЛ> Мне нужно подключить заголовок страницы с помощью php.
> > > ВЛ> Делаю это так:
> > > ВЛ> <?php include_once("http://".$_SERVER['SERVER_NAME']."/inc/top.php");?>
> > ...
> > Вот только так лучше не делать, если заведомо не знаешь, накой
> > устраивать себе в системе большую дырень своими же руками :)
>
> Это не дырень, это DoS.
Я про сам факт разрешения инклудить URL-ки.
Небольшая лажа у кого-то в коде и тебе подбрасывают инклуд, делающий
много интересного на твоей системе... жуть :)
--
misha@
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Comm] apache и php-инклюды
2008-04-07 4:38 ` Michael Bochkaryov
@ 2008-04-07 6:05 ` Nikolay A. Fetisov
0 siblings, 0 replies; 6+ messages in thread
From: Nikolay A. Fetisov @ 2008-04-07 6:05 UTC (permalink / raw)
To: community
On Mon, 7 Apr 2008 07:38:45 +0300
Michael Bochkaryov wrote:
> > > > >>>>> On 05 Апр 2008 at 22:29 "ВЛ" == Владимир Леонидов writes:
> ....
> > > > ВЛ> <?php include_once("http://".$_SERVER['SERVER_NAME']."/inc/top.php");?>
> > > ...
> > > Вот только так лучше не делать, если заведомо не знаешь, накой
> > > устраивать себе в системе большую дырень своими же руками :)
> >
> > Это не дырень, это DoS.
>
> Я про сам факт разрешения инклудить URL-ки.
>
> Небольшая лажа у кого-то в коде и тебе подбрасывают инклуд, делающий
> много интересного на твоей системе... жуть :)
Это само собой. Но здесь - уже готовый DoS своими руками, без
каких-либо дополнительных действий.
Причём, с одной стороны, код выглядит вполне нормально и чем-то даже
красиво - во всяком случае, как показывает печальный опыт,
программистов такие решения привлекают.
А с другой - и в системе всё тоже выглядит нормально: куча усердно
работающих процессов, нормальные записи в логах, отсутствие
сообщений об ошибках. Вот только работает всё дико медленно и клиенты
отваливаются по тайм-аутам.
--
С уважением,
Николай Фетисов
^ permalink raw reply [flat|nested] 6+ messages in thread
end of thread, other threads:[~2008-04-07 6:05 UTC | newest]
Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-04-05 16:29 [Comm] apache и php-инклюды Владимир Леонидов
2008-04-06 12:46 ` Vladimir V. Kamarzin
2008-04-06 14:35 ` Michael Bochkaryov
2008-04-06 14:59 ` Nikolay A. Fetisov
2008-04-07 4:38 ` Michael Bochkaryov
2008-04-07 6:05 ` Nikolay A. Fetisov
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git