Autor |
Nachricht |
Waschbequen
Account gelöscht
Ort: -
|
Verfasst Mo 30.08.2004 12:33
Titel
|
|
|
Das ist leider etwas zu naiv... schau mal in die aktuelle c't - die haben so manche Überraschung erlebt, bei ihrem Test von Webspace für 10 EUR. Und das nicht beim Provider X aus Buxtehude sondern auch bei HostEurope... und davon mal ganz abgesehen: Includes etc. gehören einfach nicht in die URL, vollkommen egal, ob damit selbst nen Loch aufgerissen wird, oder nicht - es geht den User nix an.
|
|
|
|
|
Account gelöscht
Ort: -
Alter: -
|
Verfasst Mo 30.08.2004 12:37
Titel
|
|
|
Wir hatten jetzt den Fall, dass ein XML-Parser immer mal willkürlich Validierungsfehler auf übergebende Daten lieferte. Nach 3 (!) Tagen des Rumsuchens wurde klar, dass die Einstellungen für die Magic Quotes Runtime mal ein, und dann wieder ausgeschaltet waren, das allerdings total willkürlich.
Dann wurde uns bewußt, dass der Provider jedem Skript es erlaubte, diese Einstellungen global je nach Gusto zu ändern. D.h, wenn XYZ ne Webseite aufruft, wurden die Magic Quotes ausgeschaltetet, wenn Benutzer ABC ein anderes Skript aufrieft, wurden sie wieder eingeschaltet.
Das nur als Beispiel, wie seltsam die Leute teilweise ihre Server konfigurieren.
|
|
|
|
|
Anzeige
|
|
|
karmacoder
Dabei seit: 15.04.2002
Ort: Fürth
Alter: 42
Geschlecht:
|
Verfasst Mo 30.08.2004 13:38
Titel
|
|
|
rob hat geschrieben: | um noch mal hier rauf zurückzukommen:
Zitat: | index.php?projekt=../../../../../../../../../../../../../etc/passwd
und bumm hab ich die liste aller user mit ihren md5 passwörtern und kann mir die in ruhe auf meinem rechnernetz knacken. |
Nein! So einfach wird es normalerweise nie sein. |
das es nicht so sein sollte sag ich ja auch aber es ist wirklich oft so.
php kann man auch den zugriff nur auf das userverzeichniss erlauben, dann kann man ähnlich wie chroot nicht mal auf die möglichen anderen benutzer des servers zugreifen.
ich hab selber passwd files im duzend aus webservern ausgelesen.
|
|
|
|
|
beeviZ
Dabei seit: 30.09.2002
Ort: -
Alter: -
Geschlecht:
|
Verfasst Fr 03.09.2004 16:39
Titel
|
|
|
ok, weiter gehts. hehe...
sagen wir ich will über
index.php?seite=kontakt
die datei kontakt.php reinladen... um das mit diesem get-unsicherheits-zeugs in der adressleiste zu umgehen mach ich ne if-abfrage raus. und zwar:
Code: |
<?
if ($seite == 'kontakt') {include("kontakt.php");}
else (include("home.php");}
?>
|
mit link <a href="index.php?kontakt">kontakt</a>
auf diese Methode dürfte doch niemand an meine passwortdateien rankommen, oder?
ich hoffe ihr seid noch nicht alle im wochenende
|
|
|
|
|
Account gelöscht
Ort: -
Alter: -
|
Verfasst Fr 03.09.2004 17:55
Titel
|
|
|
Ich würde sagen, "nein". Zusätzliche Sicherheit bietet hier vielleicht noch das "verstecken" der Parameterübergabe, indem du bspw. kontakt.html aufrufst, diese URL mittels mod_rewrite parst und entsprechend auf dein Skript weiterleitest.
Sowas ist natürlich extrem cool, wenn du kategorisierte Inhalte in einer Datenbank hinterlegst, und quasi eine Tabelle als Inhaltsverzeichnis hinterlegst (Oder den "Dateinamen" direkt in der Contenttabelle hinterlegst).
Somit wird aus "http://www.hanswurst.de/kontakt.html" eine Abfrage nach dem motto
Code: | $query="SELECT a.text, a.ueberschrift FROM content AS a
INNER JOIN toc AS b ON a.id=b.content_id
WHERE b.pagetitle='".$_GET["seite"]."';"; |
...nur mal so auf die Schnelle angedacht. Sicherheitslücken sehe ich hier auch nicht direkt (Oder gibts da eine Möglichkeit, sich als MySQL-Rootuser anzumelden!? )
Andererseits gilt wie immer: "Was ist schon sicher!? Die Rente is sischa..."
|
|
|
|
|
beeviZ
Dabei seit: 30.09.2002
Ort: -
Alter: -
Geschlecht:
|
Verfasst Fr 03.09.2004 22:32
Titel
|
|
|
*g* ich werds nie lernen.
vielleicht sollt ich meine finger einfach von php lassen. hehe.
|
|
|
|
|
|
|
|
Ähnliche Themen |
Variablenübergabe
variablenübergabe in formularen
Problem mit Variablenübergabe in Flash
hilfe... variablenübergabe von flash nach php????
Reg Ex | Links umschreiben
verschachtelte links
|
|