Mailinglisten-Archive |
Hallo Friedhelm, Friedhelm Betz schrieb am Donnerstag, 14. Oktober 2004 um 13:11: > http://cert.uni-stuttgart.de/archive/win-sec-ssc/2004/10/msg00015.html > Was haltet Ihr davon? Wer immer noch ungeprüft irgendwelche GET/POST/COOKIE-Parameter übernimmt und einsetzt... (naja, spar ich mir, das wird wohl jeder hier wissen ;) ) Dergleichen gilt natürlich auch für XSS oder dem Zugriff auf lokale Systemdateien, alles längst bekannt. > Irgendwie ist das doch ziemlich duenne Suppe, ich > weiss nicht was ich von diesen Warnungen per se halten soll. Das kam wohl aus aktuellem Anlass (Stichwort: Warez/Uniserver/FTP) und man sollte auch berücksichtigen, dass diese CERT-Meldungen eigentlich an die Admins der Uni gerichtet sind. Ich könnte mir durchaus vorstellen, dass es auf einigen Uniservern tatsächlich ein Problem darstellt, wo alle Studenten und Institute ein paar MB Webspace umsonst bekommen und je nach Kenntnisstand ein paar PHP-Skripte laufen lassen (von denen sie wissen, was sie tun ;) ). Aus Programmierersicht ist der Artikel natürlich ziemlicher Bullshit. > Hoeflicherweise wird empfohlen PHP Installationen auf Einbruchsversuche > zu pruefen, toll, aber mit keinem Wort explizit erwaehnt, welche > Massnahmen ergriffen werden koennten. Ausser implizit url_fopen > auszustellen. Ja, das ist allerdings dürftig, aber wie gesagt, das sind eigentlich nur die Möglichkeiten, die ein Admin hat, insofern kann ich das einigermassen nachvollziehen. Der erste Weg des Admin muss sein, url_fopen abzustellen, wenn er eine solche Konstelleation entdeckt, dann kann er versuchen den betreffenden User, der die Skripte/Webseite betreut ausfindig zu machen. Er darf sonst nachher als Netzverantworlicher den Mist ausbaden, wenn ein Bot den Server missbraucht. Gruss Frank -- Website : http://www.raschesweb.de e-mail : info at raschesweb.de GPG public-key: http://www.raschesweb.de/rasche.asc =================================================== ;-)
php::bar PHP Wiki - Listenarchive