現在UNIXシステムにおいて最も多く使われているであろうhttpdはApacheです。 Apacheの設定を行うファイルは、従来のバージョンではhttpd.conf, access.conf, srm.confの3本に分かれていましたが、現在のバージョンではhttpd.confに一本化されています。 今回取り上げるバージョンは1.3.19です。 以前のバージョン(1.0.3以前)では、phfによってパスワードファイルを取得することができましたが、現在ではこれは出来ないようになっています。 (1) phf攻撃 phfとは、NCSA httpdやApacheに添付されていたCGICommon Gateway Interface)のスクリプトです。 実際に使用しなくとも非常に危険なスクリプトとされています。 なぜなら、このスクリプトを参考にして作成されたスクリプトにも同じ危険が潜

ブラウザからPHPスクリプトにアクセスして、PHPプログラムからsudoコマンドを実行する方法。 ちょっとハマってしまったので方法をメモっておきます。 ご存知の通りPHPからコマンドを実行するにはexec()やsystem()等を使えばいいんですが、Apacheに実行権限が無いファイルを扱う場合はsudoしてから実行する必要があります。 <?PHP $cmd = "echo 'password' | sudo -S ls /root"; exec($cmd, $output); print_r($output); ?> みたいに-Sを付けてやればパイプでパスワードを渡すことが出来ます。 ここで入力するのはもちろんapacheが動いているユーザーのパスワードです。 apacheがどのユーザー権限で動いているかはhttpd.confのUserディレクティブとGroup

※Ｑの並びを変更しましたが、番号自体はこれまでと同じです。(2003.9.20) まずは中田さんの FAQ を