wow, ich habe plötzlich ne neue Startseite...

[pupsi]

Ich muss mich nochmal zu dem Thema melden.

Wenn ein Script richtig geschrieben ist und ein Verzeichniss 777 erhalten muss, damit gif oder jpg Dateien hochgeladen werden können, dann ist doch davon auszugehen, dass der Apache auch begreift, das er nur diese annehmen darf.

Wenn nur Bilddateien erlaubt sind, werden Scripte oder andere Formate nicht akzeptiert. ( Ist eine Aussage eine PHP Programmierer)

Folglich sagt mir mein Laien Hirn, dass 777 nicht immer gleich heisst das Gefahr besteht.

So, nun könnt Ihr mich steinigen :lol:

[lufthansen]

als erster werf :)
ne es geht glaube ich um bugs in den scripten das man eben doch andere sachen uppen kann

[pupsi]

Autsch

Also ich seh dann den Bug eher in der Möglichkeit überhaupt 777 einstellen zu können.

Ich arbeite mit einem PHP Programmierer zusammen, der mir spezielle PHP Scripte erstellt. Eines davon ist z.B. ein Script für Autohäuser, die Ihre Gebrauchtwagen damit updaten können.

Er sagte mir, dass ein Script, wenns richtig geschrieben wurde, keine anderen Files zulässt, als Bilddateien.

Ich hab es ja probiert und es geht nicht. Wie will ein Hacker das Script umgehen? Wie kann ein Hacker denn scripte hochladen?

Es wird immer gesagt VORSICHT, aber mal an einem Fallbeispiel das plausibel zu machen ist nicht.

Ich hab das Burning Board auf einigen Seiten am laufen ( ist ja auch nicht unbekannt). Da muss man auch das Avatar Verzeichniss auf 777 setzen.

Jetzt bitte mal eine klare Antwort: Ist es möglich anstelle eines Bildes ein Script ins Verzeichniss zu laden? Wenn ja, wie????

Und wie der Captain schon immer sagt :" Absolute Sicherheit gibts eh nicht"

[captaincrunch]

Er sagte mir, dass ein Script, wenns richtig geschrieben wurde, keine anderen Files zulässt, als Bilddateien.

In dem Fall dürfte aber nicht nur nach Dateiendung (die ohnehin nichts zu sagen hat), sondern nach dem Inhalt der Datei gefiltert werden, und auch hier gäbe es Möglichkeiten für "Hacker", da ein Script mit einzuschleusen.

Jetzt bitte mal eine klare Antwort: Ist es möglich anstelle eines Bildes ein Script ins Verzeichniss zu laden? Wenn ja, wie????

Wie oben schon gesagt : was würde mich daran hindern, ein Script mit der Endung ".jpg" hochzuladen, und damit (mehr oder weniger) bekannte Lücken in den Boards auszunutzen ?

Und wie der Captain schon immer sagt :" Absolute Sicherheit gibts eh nicht"

In dem Fall scheinst du mich falsch verstanden zu haben : natürlich gibt's keine absolute Sicherheit, solch grobe Patzer sind aber auf jeden Fall vermeidbar ... ;)

[pupsi]

Danke,

das war doch mal eine klare Antwort.

Werde also meinem Programmierer in Zukunft verbieten Scripte zu schreiben die 777 brauchen.

Gruß Pupsi

[Anonymous]

-->Wie muss ich nun vorgehen wenn zB mein Forum einen 777 Ordner benötigt (Upload von Avatar)?

Wie schon desöfteren hier gesagt : ein vernünftiges Forum suchen, oder so etwas sinnfreies weglassen

Hmh, so nun noch so eine Laien-Frage....

Was ist wenn ich nun den 777-Ordner mit .htaccess "schütze"?

zB durch: deny from all

MfG

Zimstern

[captaincrunch]

Damit änderst du nichts am Grundproblem 777 ... ;)

[Anonymous]

Damit änderst du nichts am Grundproblem 777 ... ;)

Yep..aber dann könnte das evtl. Script nicht gestartet werden, oda?

[dodolin]

Yep..aber dann könnte das evtl. Script nicht gestartet werden, oda?

Meine CGI-, PHP- und sonstigen Skripte haben die Rechte 700 und laufen perfekt. Dann ist es auch kein Problem, wenn darin z.B. Passwörter für die Datenbank stehen.

Wer behauptet, dass irgendwelche CGI-Skripte 777 benötigen, der muss ein <censored> sein. Ahnung können solche "Programmierer" jedenfalls nicht gerade viel haben - um es mal sehr vorsichtig auszudrücken.

[dea]

In Abhängigkeit zur Indianer-Konfiguration sollte es schlimmstenfalls ausreichen, für den Upload von Bilddateien 660 zu "gewähren", im Idealfall sollte 600 ausreichen.

Da leiglich der Upload betroffen ist, dürften eigentlich keine Rechte zum Ausführen benötigt werden - lediglich Schreibzugriff muss erlaubt sein ...

[impulz]

In diesem Fall waers aber piepegal gewesen, ob das Verzeichnis nun 777 oder 700 hat. Denn das Skript muss so oder so Dateien in dem Verzeichnis erstellen koennen, und so kann auch jemand der ueber ne Luecke im Skript arbeitet dort Dateien speichern. Da bringts nix sich an 777 hochzuziehn.

Lieber sollte man sich ueberlegen, ob das eingesetzte Skript denn nun wirklich Shell-Befehle ausfuehren koennen muss. Insbesondere phpBB laesst sich oftmals missbrauchen um Shell-Befehle auszufuehren und Dateien runterzuladen. Den Output der Befehle (wie hier vom wget) findet man dann im Apache log.
Also ggf. exec, system, shell_exec usw usf sperren bzw das Skript im SafeMode laufen lassen wenn moeglich.
Desweiteren kann man die Standard-Binaries, die verwendet werden (wget, lynx, ..) ggf. umbenennen, das wird auch viele verzweifeln lassen, bietet aber keine endgueltige Sicherheit.

[alrad]

Hallo,

wenn ich dem Apachen ein Schreibrecht auf meine Daten gebe, egal durch welche Permission, dann können Dateien jeglicher Art auf den Server gespielt werden. Das kann nur durch zusätzliche Schutzmechanismen verhindert werden. Es ist immer auch ein Schutz durch die eingesetze Software, wobei ich nicht nur Apache, PHP usw. meine sondern auch die eingesetzen Scripte, erforderlich. Um eine Beschränkung des Angriffes auf den jeweiligen User zu beschränken, müsste z.B. PHP als CGI laufen. Wie schon vielfach erwähnt, gibt es kein 100 Prozent sicheres System obgleich eine hohe Sicherheit durch verschiedenste Mittel erreicht werden kann. Das Problem dabei ist nur, dass die Wenigsten das Wissen darüber haben. Meistens wird erst dann etwas unternommen, wenn das Kind ins Wasser gefallen ist. Lasst euch von Sicherheitsprofis helfen, wenn es euch Ernst mit der Sicherheit ist, denn das Halbwissen darüber macht es nur noch schlimmer.

Gruß
Albert

[mr. fry]

Hallo,

ich habe auf meinem System im www-Bereich bei jedem User zwei Ordner die 777 haben. Die wurden aber von Confixx so angelegt...
Das heißt doch, dass in diesen Ordnern irgendjemand eine rwx-Datei anlegen kann, oder?

Gruß
Mr. Fry