Re: sobre CGI

To: ayuda en linux org mx
Subject: Re: sobre CGI
From: Ricardo Santos Quintero <ricardo en w3server cs buap mx>
Date: Thu, 4 May 2000 12:56:08 -0500 (CDT)
Cc: "Ing. Romy Perez Moreno" <linux en fenix uam mx>
In-reply-to: <Pine.LNX.4.10.10005022139190.6183-100000@fenix.uam.mx>
List-help: <mailto:ayuda-help@linux.org.mx>
List-post: <mailto:ayuda@linux.org.mx>
List-unsubscribe: <mailto:ayuda-unsubscribe@linux.org.mx>
Mailing-list: contact ayuda-help en linux org mx; run by ezmlm

    Saludos.

On Tue, 2 May 2000, Ing. Romy Perez Moreno wrote:

> hola,
> 
> una pregunta tecnica, he estado leyendo apache y anexas para poder
> implementar un contador cgi en mi servidor, encontre uno bastante sencillo
> y ya lo puse a trabajar.
> 
> la pregunta es esta: asigne mediante apache que se puedan "includes" en el
> subdirectorio de los homepages de los usuarios, asi se puede ejecutar el
> cgi mediante un <!--#exec cgi="/cgi-bin/contador.cgi"-->, ok todo en
> orden, pero que pasa si el usuario declara un subdirectorio cgi-bin dentro
> de su home y direcciona el link anterior a su cgi-bin?  bueno ya lo probe
> y no funciona, pero es seguro? o no funciona por algo que confugire mal?
> de pronto algun usuario mas ducho podria configurarlo bien?

    Por seguridad apache no ejecuta ningun cgi que no este dentro del
directorio cgi-bin, puedes permitir que se ejecuten cgi's dentro del
htdocs pero es muy muy inseguro.
    Si un usuario crea un enlace simbolico al cgi-bin no puede ejecutar
los cgi's, pues como ya dije apache por default solo los ejecuta en
cgi-bin
	ScriptAlias /cgi-bin/ "/apache/cgi-bin/"
 	<Directory "/apache/cgi-bin">
        	AllowOverride None
        	Options None
        	Order allow,deny
        	Allow from all
    	</Directory>

    Al parecer lo que hiciste en el directorio padre de tus usuarios fue
darles permiso para los SSI, no para ejecutar cgi's como tales. La unica
forma en que podrian explotar el SSI seria conociendo su estructura
interna, pero si este cgi no recibe parametro alguno pues es mas dificil
que le puedan hacer algo al servidor. 

> 
> inclusive intente por un link en el cgi-bin real hacia un subdirectorio de
> usuario y autorice el FollowSymLink en apache y tampoco, me podrian
> explicar esto? que tan seguro es?

    Es bastante seguro   =)

> 
> muchas gracias, espero no haber sido demaciado confuso.
> 
> Ing. Romy Perez Moreno
> e-mail: romy en fenix uam mx, romy en hp9000a1 uam mx
> http://fenix.uam.mx/romy
> tel: 5318 9067 / 5586 0300 ext. 145 (trabajo)  5382-7157 (casa)
> 
> 
> 

-- 


Atte. Ricardo Santos Quintero
mailto: ricardo en cs buap mx
Area de Administración de Redes
Facultad de Ciencias de la Computación
Benemérita Universidad Autonóma de Puebla
Puebla México



-- 
Para desuscribirse, mande correo a: ayuda-unsubscribe en linux org mx
Para comandos adicionales, envíelo a: ayuda-help en linux org mx

Referencias:
- sobre CGI
  - De: Ing. Romy Perez Moreno

Previo por Fecha: Re: hola
Siguiente por Fecha: RE: hola
Previo por Hilo: sobre CGI
Siguiente por Hilo: Aspel, COI, NOI en linux????

[Hilos de Discusión] [Fecha] [Tema] [Autor]