![Functii de SO in PHP resource proc_open ( string $cmd , array $descriptorspec , array &$pipes [, string $cwd [, array $env [, array $other_options ]]] ) string exec ( string $command [, array &$output [, int &$return_var ]] ) string system ( string $command [, int &$return_var ] ) Procesul lansat are UIDul userului “nobody” Fisierul sudoers poate fi editat pentru a asigura utilizatorului nobody permisiunile necesare System si exec asteapta incheierea procesului, in timp ce proc_open ofera control absolut asupra procesului direct din script](https://image.slidesharecdn.com/mihneasimian-1213547444332484-8/85/Prezentare-USO-Web-Application-Integration-6-320.jpg)
![Anexa: Lansare aplicatii pe client Windows HKEY_CLASSES_ROOT\ymsgr\shell\open\command cu valoarea "C:\Program[..]\YahooMessenger.exe" %1 Link de tip <a href=“ymsgr:actiune”>..</a> Browserul interpreteaza protocolul linkului conform registrilor lansand cu parametru aplicatia corespunzatoare Atentie! Practica este utilizata de situri Warez pentru a lansa malware pe sistemul clientului](https://image.slidesharecdn.com/mihneasimian-1213547444332484-8/85/Prezentare-USO-Web-Application-Integration-9-320.jpg)
Prezentare USO - Web Application Integration
- 1. Prezentare: Web Application Integration Mihnea Simian – 313CC 14.01.2008
- 2. Webscripting Client-side: JavaScript, ActionScript (flash) Interpretat de browser, pluginuri activex sau alte componente locale Server-side: PHP, CGI, ASP, Pearl Interpretat de un proces de pe serverul web care executa codul si transmite serverului web Apache outputul (x)html/xml browserul clientului. Avantaje: centralizarea taskurilor, accesul la resursele serverului, control absolut, portabilitate la nivel de client, protectia codului !#/bin/bash hello=“Hello World!” echo $hello !#/usr/bin/php $hello=“Hello World!”; echo $hello; <?php $hello=“Hello World!”; ?> Aici html <? echo $hello; ?> -vezi sectiunea 11.3.1.2 - Shebang
- 3. Studiu de caz: PHP Ruleaza ca proces de obicei sub userul “nobody”, grupul “nogroup” prin care realizeaza operatii (comenzi) la nivelul shellului. Exemple: functia get_cwd() (vezi cap Procese 4.1.3.1, /proc/pid/cwd), functiile de lucru cu fisiere – copy, unlink, functii de securitate – chown, chmod. Multiple capabilitati, foarte flexibil, sintaxa similara cu C/C++, frecvent considerat limbaj de programare(?) – suport oop, declaratii si conversii tipuri de date, lucrul cu adrese, variable variables Biblioteci (extensii) diverse – ex: php_exif_data, php_gd, php_mysql/mssql/innodb,
- 4. Mai mult! Cum? Nevoia unor operatii ample care depasesc capabilitatile scriptingului Exemple: prelucrarea sofisticata a unor fisiere multimedia (youtube, deviantart), mass-mailere personalizate, servicii de retea, servicii de comunicatie (telefonie mobila) Solutia: utilizarea unor aplicatii care vor rula pe server si vor satisface cererile clientului
- 5. Apelarea aplicatiei Executie manuala Rularea ca daemon (background process) Precum cronjob (scheduled task) La apelul scriptului web
- 6. Functii de SO in PHP resource proc_open ( string $cmd , array $descriptorspec , array &$pipes [, string $cwd [, array $env [, array $other_options ]]] ) string exec ( string $command [, array &$output [, int &$return_var ]] ) string system ( string $command [, int &$return_var ] ) Procesul lansat are UIDul userului “nobody” Fisierul sudoers poate fi editat pentru a asigura utilizatorului nobody permisiunile necesare System si exec asteapta incheierea procesului, in timp ce proc_open ofera control absolut asupra procesului direct din script
- 7. Exemplu
- 8. Teasing Diverse comenzi (de ex. listarea fisierelor) lansate pe calculatorul (serverul web) de acasa, printr-un script web Un GUI-shell in browser, gen Windows Explorer
- 9. Anexa: Lansare aplicatii pe client Windows HKEY_CLASSES_ROOT\ymsgr\shell\open\command cu valoarea "C:\Program[..]\YahooMessenger.exe" %1 Link de tip <a href=“ymsgr:actiune”>..</a> Browserul interpreteaza protocolul linkului conform registrilor lansand cu parametru aplicatia corespunzatoare Atentie! Practica este utilizata de situri Warez pentru a lansa malware pe sistemul clientului
- 10. Cuvinte cheie script client-side server-side php extensii proc_open system exec descriptori file pointer pipes protocol