¿Se podría crear un sitio web vulnerable a propósito para atacar un servidor de un proveedor de alojamiento?

Navega tus respuestas
7

¿Es posible que una vulnerabilidad en una aplicación sea explotada para atacar a otra aplicación en el mismo servidor?

Entonces, de acuerdo con la respuesta a la pregunta anterior, es posible que cuando un sitio web en un servidor es vulnerable a la ejecución remota, esto implica que todos los sitios web alojados en el mismo servidor podrían estar comprometidos.

Por lo tanto, me preguntaba si uno crearía un sitio web con esta vulnerabilidad a propósito. Entonces deje que sea alojado por un proveedor de alojamiento. Tal proveedor de alojamiento probablemente tiene alrededor de 50 sitios web alojados en un servidor.

¿Podría esto llevar al compromiso de todos los demás sitios web en este servidor? Si no, ¿cómo se evita esto? Si es así, ¿cómo se podría evitar esto?

La discusión sobre esta pregunta ha conducido a una nueva pregunta sobre la prevención de este hilo: Cómo hacen los proveedores de alojamiento ¿Evita que el compromiso de un sitio web cause el compromiso de otro?

    
pregunta Just van der Veeken 30.05.2018 - 10:05
fuente

2 respuestas

11

No necesitaría el sitio web vulnerable si ya tiene una cuenta en el alojamiento compartido. Lo que necesitas es la ejecución del código en el host. Una vulnerabilidad de ejecución remota de código en uno de los sitios web alojados te da eso, seguro. Pero si ya tienes tu propia cuenta, ¿por qué no simplemente subes el código que quieras ejecutar?

Supongo que instalar una aplicación vulnerable podría ser una forma de intentar evitar ser responsable del ataque ("no fui yo, fui hackeado"). Pero no es estrictamente necesario.

Las empresas que ofrecen alojamiento compartido deben intentar segregar las diferentes cuentas lo más posible. Esto no siempre es algo fácil de hacer. Las vulnerabilidades en las configuraciones erróneas del sistema operativo o del servidor se pueden aprovechar para obtener acceso a otras cuentas. Un buen proveedor de alojamiento podría dificultar tales ataques manteniendo el software actualizado y configurando las cosas correctamente. Pero lo barato rara vez es bueno, y el alojamiento compartido a menudo es barato.

    
respondido por el Anders 30.05.2018 - 10:17
fuente
-1

Tener una vulnerabilidad sugiere una debilidad que sería explotada por un atacante, que no es realmente el caso cuando el atacante ya tiene acceso al sistema (el proveedor de alojamiento).

Lo que parece estar preguntando es la posibilidad de explotar a otros inquilinos en los sistemas, que es una pregunta demasiado grande para responder en uno, y depende de la forma en que se comparten los recursos en el servidor.

    
respondido por el Guy 30.05.2018 - 10:17
fuente

Lea otras preguntas en las etiquetas

EAP-TLS vs EAP-TTLS vs EAP-PEAP ¿Funciona la suplantación ARP en * todas * las LAN?