php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Bewertung: Bewertung: 1 Stimmen, 5,00 durchschnittlich.
  #1 (permalink)  
Alt 25-06-2005, 10:02
cyw
 Newbie
Links : Onlinestatus : cyw ist offline
Registriert seit: Sep 2002
Beiträge: 10
cyw ist zur Zeit noch ein unbeschriebenes Blatt
Standard Sicherheitsrisiko - steh ich auf dem Schlauch ?

Hallo.

Bin seit ca. 1 Jahr an einem kleinen Site/Gallery-Managementsystem am Arbeiten, nähert sich der Fertigstellung.

Derzeit arbeite ich an diversen Spamschutzmechanismen / Missbrauchs-Schutz.

Dabei bin ich auf folgendes Problem gestossen:
Von meinem Localhost kann ich problemlos scripts auf dem Webserver includen (http://www.domain.../.../.../xyz.php).
Das fuktioniert i.A. auch mit dem config.php - File, welches Angaben über die zu verwendende Datenbank (MySQL/SQlite) und die passenden Namen/Passwörter enthält + die Datenbankverbindung aufbaut.

Nachdem anscheinend jeder Localhost das File includieren könnte wäre es möglich, dass eben diese Localhosts bei bekannter Verzeichnisstruktur (ist ja ab Veröffentlichung dann bekannt) Zugriff auf die Datenbanken erlangen können -> alle Türen offen für Missbrauchsversuche.

Gibt es da eine Lösung? Irgendwie habe ich das Gefühl ich stehe peinlicherweise total auf dem Schlauch.

Wie machen das andere CMS/Applikationen etc. ?

config.php in Verzeichnus unterhalb Roor legen darf ich lt. Provider nicht.

.htaccess habe ich lt. Provider ebenfalls keinen Zugriff.

Kann mir da jemand einen Denkanstoss geben ?

Würde mich über Hilfe freuen.

MfG
Cyw
Mit Zitat antworten
freelancermap.de - IT Projektvermittlung für Selbständige und Freiberufler
  #2 (permalink)  
Alt 25-06-2005, 10:35
Shurakai
 Master
Links : Onlinestatus : Shurakai ist offline
Registriert seit: May 2004
Ort: Bergisch Gladbach
Beiträge: 3.084
Shurakai ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Wenn du nicht willst dass jeder andere Kunde deine Scripts includiert, dann musst du wohl oder übel auf open_basedir vom Provider setzen.

Denn ansonsten kann wirklich jeder alles includieren. Das ganze läuft dann nicht über das http protokoll, sondern wird direkt über das filesystem gemacht.

.htaccess bringt hier natürlich somit dann auch reichlich wenig, weil sich apache dafür nur bei http anfragen interessiert
Mit Zitat antworten
  #3 (permalink)  
Alt 25-06-2005, 10:43
tommie82
 Newbie
Links : Onlinestatus : tommie82 ist offline
Registriert seit: Jan 2004
Beiträge: 38
tommie82 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Also normalerweise sollte der Pfad immer root/htdocs sein mit Zugriff auf root, wo man dann von außen nicht sichtbare Dateien ablegen kann.
Bei allen Providern die ich kenne ist dies auch so.

Was meinst du mit jeder Localhost? Es gibt immer nur einen Localhost und natürlich könnte ein zweiter Kunde der dem gleichen Server zugewiesen wurde wie du versuchen auf deine DB zuzugreifen. Zugriff auf deine Verzeichnisse hat er allerdings nicht, so dass er dein Passwort schon knacken müsste.
Mit Zitat antworten
  #4 (permalink)  
Alt 25-06-2005, 11:12
Shurakai
 Master
Links : Onlinestatus : Shurakai ist offline
Registriert seit: May 2004
Ort: Bergisch Gladbach
Beiträge: 3.084
Shurakai ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von tommie82
Was meinst du mit jeder Localhost? Es gibt immer nur einen Localhost und natürlich könnte ein zweiter Kunde der dem gleichen Server zugewiesen wurde wie du versuchen auf deine DB zuzugreifen. Zugriff auf deine Verzeichnisse hat er allerdings nicht, so dass er dein Passwort schon knacken müsste.
Leider falsch. Wenn dein PHP fehlerhaft konfiguriert ist HAT er Zugriff....
Mit Zitat antworten
  #5 (permalink)  
Alt 25-06-2005, 11:16
cyw
 Newbie
Links : Onlinestatus : cyw ist offline
Registriert seit: Sep 2002
Beiträge: 10
cyw ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Der Provider ist Kontent.de

open_basedir: /usr/local/httpd/htdocs/:/raid/domains/:/tmp/uploads:/raid/news

Mit Localhost ist gemeint, jeder der einen (bei mir Apache) Localhost auf einem eigenen Rechner installiert hat -> leichte Grundausstattung für Angriffe.


Habe gerade testweise versucht unterhalb des Verzeichnisses "www" (kontent.de Rootverzeichnis) einen Ordner od. eine Datei zu erstellen/kopieren - kein Erfolg. Zugriff verweigert.

Also nur open_basedir anders setzen lassen als Lösung ?

Danke für die Hilfe

MfG
Cyw
Mit Zitat antworten
  #6 (permalink)  
Alt 25-06-2005, 11:35
Shurakai
 Master
Links : Onlinestatus : Shurakai ist offline
Registriert seit: May 2004
Ort: Bergisch Gladbach
Beiträge: 3.084
Shurakai ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Naja, open_basedir müßte für die anderen Kunden anders gesetzt werden.

Kannst du denn das Verzeichnis /usr/local/httpd/htdocs/ auslesen? Würd mich mal interessieren ob du auf andere Kunden zugreifen kannst...

Zitat:
Mit Localhost ist gemeint, jeder der einen (bei mir Apache) Localhost auf einem eigenen Rechner installiert hat -> leichte Grundausstattung für Angriffe.
Was? Versteh ich nicht...?! Was hat das mit deinem Problem zu tun?
Mit Zitat antworten
  #7 (permalink)  
Alt 25-06-2005, 11:42
cyw
 Newbie
Links : Onlinestatus : cyw ist offline
Registriert seit: Sep 2002
Beiträge: 10
cyw ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Also, ich bin jetzt mal ein vollkommen Fremder.
Ich kenne die Verzeichnisstruktur des Galleriesystems.

Installiere mir einen Apache->Localhost auf meinem PC
Schreibe mir ein kleines PHP-Script, dass mir die config.php includiert.

=>Datenbankverbindung

Das Script müllt mir jetzt desweiteren die DB mit Spam oder anderem Müll zu.

Fertig.

Das könnte also JEDER von einem eigenen lokalen localhost tun.

Sorry, kann nicht so gut erklären, jetzt besser verständlich ?



Ob ich auf das o.g. Verzeichnis zugreifen kann kann ich leider nicht prüfen, da ich k.A. habe wie genau das funktionieren soll (Ascha auf mein Haupt) - und eine Anleitung möchte ich hier auch nicht gepostet haben .
Mit Zitat antworten
  #8 (permalink)  
Alt 25-06-2005, 11:47
Shurakai
 Master
Links : Onlinestatus : Shurakai ist offline
Registriert seit: May 2004
Ort: Bergisch Gladbach
Beiträge: 3.084
Shurakai ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Achso,
du meinst jeder schreibt sich kurz nen Script und includiert dann über

include 'http://www.deinedomain.de/dein/pfad/zu/config.php';

und liest das dann aus? Das geht nicht... .php Dateien werden bei HTTP-Requests (also von Besuchern etc.) vom PHP-Parser durchgearbeitet. Das wiederum heißt, wenn dein Zeug in <?php ?> Tags steht, kommt dabei nix raus -> auch keine Datenbankverbindung.

Nur Leute die auf dem gleichen Server sind wie du könnten das Script includieren...
Mit Zitat antworten
  #9 (permalink)  
Alt 25-06-2005, 11:53
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von cyw
Installiere mir einen Apache->Localhost auf meinem PC Schreibe mir ein kleines PHP-Script, dass mir die config.php includiert.

=>Datenbankverbindung
ja fein.
und?

Zitat:
Das Script müllt mir jetzt desweiteren die DB mit Spam oder anderem Müll zu.
und wie macht es das - kann es zaubern?
da müsste ja auf deinem webspace zusätzlich noch ein datenbank-zumüll-script vorhanden sein, welches ich auf meinem apachen ebenfalls über HTTP includen kann, damit das geht.

außerdem müsste dieses script die config mit der db-verbindung selber einbinden - denn wenn ich erst das eine und dann das andere script über HTTP aufrufe, dann weiß das zweite ja überhaupt nichts von irgendwelchen variablen des ersten scriptes, in denen bspw. datenbankverbindungsressourceIDs (feines wort) abgelegt wurden.

Zitat:
Das könnte also JEDER von einem eigenen lokalen localhost tun.
nö, in dem er nur deine scripte mittels eines lokalen webservers über HTTP includet, kann jeder nur genau das gleiche bewirken, wie jemand der deine scripte gleich mit einem browser aufruft.
der lokale webserver ist in dem falle auch nur ein client, der eine ressource über HTTP anfordert - nicht mehr und nicht weniger.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #10 (permalink)  
Alt 25-06-2005, 11:54
cyw
 Newbie
Links : Onlinestatus : cyw ist offline
Registriert seit: Sep 2002
Beiträge: 10
cyw ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Puuuuuuuuuuuuuuh!
1 Jahr Arbeit gerettet, war schon fix und fertig.
Ist also doch ein peinlicher Denkfehler gewesen - klar, ist ja in diesem Fall ein externer Aufruf einen php-Datei...hätte ich ja auch gleich drauf kommen können.

*mich ganz klein mach*


Danke an alle!


Bleib nur noch das Problem, dass ich wohl sicherheitsrelevante Daten nicht unterhalb des www-Verzeichnisses lagern kann - dort tauchen einzig und allein Dirs für angelegte Subdomains auf...schade.


MfG
Cyw

Geändert von cyw (25-06-2005 um 11:59 Uhr)
Mit Zitat antworten
  #11 (permalink)  
Alt 25-06-2005, 12:55
pekka
 PHP Master
Links : Onlinestatus : pekka ist offline
Registriert seit: Jun 2001
Ort: Köln
Beiträge: 6.608
pekka befindet sich auf einem aufstrebenden Ast
Standard

Nachtrag: Einen Provider, der weder Zugriff auf eine Ebene oberhalb des Doc-Roots noch Passwortschutz für Verzeichnisse bietet, würde ich sofort feuern.

Just my 2 cents
Mit Zitat antworten
  #12 (permalink)  
Alt 25-06-2005, 14:35
cyw
 Newbie
Links : Onlinestatus : cyw ist offline
Registriert seit: Sep 2002
Beiträge: 10
cyw ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Yup - wollte ich auch, Wechsel war geplant - leider hat mir meine Vergesslichkeit und 2 Wochen Urlaub einen Strich durch die Rechnung gemacht...16.06.05 war Stichtag...

Verzeichnisschutz ist wohl möglich, allerdings nur über das Adminsystem des Providers konfigurierbar.

MfG Cyw

Achso -
Muss dazu sagen, dass kontent.de an sonsten sehr zuverlässig war, hatte kaum mal Geschwindigkeitsprobleme o.Ä., Email-Support nach spätestens 2-3 Tagen, Webspace,Domain,Email und Datenbank funtionieren gut. Nur die Sache mit "ausserhalb root" stört mich im Moment - und die Tatsache, dass man die gleichen Leistungen wohl mittlerweile auch günstiger bekommt bzw. mehr Leistung zum gleichen Preis...
Mit Zitat antworten
  #13 (permalink)  
Alt 25-06-2005, 15:12
Shurakai
 Master
Links : Onlinestatus : Shurakai ist offline
Registriert seit: May 2004
Ort: Bergisch Gladbach
Beiträge: 3.084
Shurakai ist zur Zeit noch ein unbeschriebenes Blatt
Standard

muss aber nich immer besser sein...

Bei vielen Hostern wo du mehr bezahlst wirst du als Kunde behandelt und nicht als Nummer....
Mit Zitat antworten
  #14 (permalink)  
Alt 26-06-2005, 11:23
stun
 Junior Member
Links : Onlinestatus : stun ist offline
Registriert seit: Feb 2004
Beiträge: 129
stun ist zur Zeit noch ein unbeschriebenes Blatt
Standard

also ich war selbst mal bei kontent, zu der zeit wo das noch ein günstiges angebot war. aber mittlerweile bist du fast überall besser dran als dort...

a) zu teuer
b) zu eingeschränkt
c) schlechter support
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

PHP Marktplatz-Software
PHP Marktplatz-SoftwareEs hat sich viel getan! Die neue Version 7.5.9 unserer PHP Marktplatz-Software ebiz-trader steht ab sofort zur Verfügung.

28.10.2019 | Berni

Die RIGID-FLEX-Technologie
Die RIGID-FLEX-TechnologieDie sogenannte "Flexible Elektronik" , oftmals auch als "Flexible Schaltungen" bezeichnet, ist eine zeitgemäße Technologie zum Montieren von elektronischen Schaltungen.

06.12.2018 | Berni


 

Aktuelle PHP Scripte

Formmailer v1.7.0 Bootstrap 4

Formmailer v1.7.0 Bootstrap wurde extra für Bootstrap entwickelt. Mit Bootstrap kann man schnell und einfach kleine oder große Projekte entwickeln, die auf Geräten in allen erdenklichen Formen funktionieren.

16.04.2020 arne-home | Kategorie: PHP/ Formular
Upload v1.1.0 Bootstrap

Mit dem PHP - Uploadscript kann man schnell und einfach Bilder und Dateien auf den Webserver hochladen.

16.04.2020 arne-home | Kategorie: PHP/ File
Microweber CMS

Open source, drag and drop website builder

13.01.2020 Berni | Kategorie: HTML5/ EDITOR
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 10:45 Uhr.