[Owasp-brazilian] PHP Safe Mode Considered Harmful

Ulisses Castro (thebug) uss.thebug at gmail.com
Wed Jan 14 11:34:41 EST 2009


Opa!

Bem bacana, mas nada ultra novo afinal bypass em safe_mode do php vem
constantemente publicado, o ponto mais legal do texto é ver um cara
como HD Moore comentar sobre utilizar uma camada de proteção em kernel
space como SE Linux para evitar incidentes, o que é excelente.

Aproveitando o gancho, é legal comentar sobre o líder do projeto
SE-PostgreSQL[1], KaiGai Kohei que há algum tempo escreveu uma API do
SE Linux pro PHP da mesma forma que ele trouxe as chamadas do SE Linux
pra dentro do PostgreSQL, e também melhorou o codigo do SE Linux para
segregar ainda mais os processos do Apache com base em vhosts por
exemplo... (se nao me engano subiu esses dias pro Kernel)

Com isso ele conseguiu fechar a toda a pilha LAPP, assim um usuario
que se loga em uma aplicacao WEB ganha um contexto controlado pelo SE
Linux (lá em baixo em kernel space) que o fecha dentro do
container/sandbox com suas políticas.

Como uma imagem vale mais do que 1000 palavras eu subi uma imagem pra
entender o processo[2].

Pra quem se interessar na idéia do japa maluco[3] e pra quem lê em
japones ou curte umas traducoes tosconas do google de jp pra
pt-BR/en-US[4].


Abracos!

[1] http://code.google.com/p/sepgsql/
[2] http://img81.imageshack.us/my.php?image=080719lappwo4.png
[3] http://marc.info/?l=selinux&m=121611666013230&w=2
[4] http://kaigai.sblo.jp/

-- 
Ulisses Castro (thebug)
http://ulissescastro.wordpress.com
uss.thebug at gmail.com




2009/1/14 Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>:
> O que acham ?
> http://www.breakingpointsystems.com/community/blog/php-safe-mode-considered-harmful
>
> []z! =)
>
> --
> ===========================
> Rodrigo Montoro (Sp0oKeR)
> http://www.spooker.com.br
> http://www.snort.org.br
> http://www.linkedin.com/in/spooker
> ===========================
>
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>


More information about the Owasp-brazilian mailing list