phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Hackangriff??

Lutz Zetzsche Lutz.Zetzsche at sea-rescue.de
Fre Sep 16 21:30:29 CEST 2005

Vorherige Nachricht: [php] Hackangriff??
Nächste Nachricht: [php] Hackangriff??
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Hallo Peter,

Peter Linzenkirchner schrieb:
> Wohl wahr ...
> Bei mir konnte der Angreifer die Datei nicht entpacken; er hat sie
> über ein Upload-CGI hochgeladen und konnte sie anschließend zwar
> aufrufen, aber nicht auspacken. Insofern hat er auch keinen Schaden
> anrichten können. Aufmerksam bin ich geworden, weil ich mich von den
> Uplaods per Mail benachrichtigen lasse.
>
> Aber er hat mich auf ein Sicherheitsloch aufmerksam gemacht, das ich
> jetzt gestopft habe.

bei einem Upload-Formular sollte man eine "Weiße Liste" der erlaubten
Dateiendungen bzw. Dateien definieren und das Hochladen aller Dateien
unterbinden, die nicht mit der "Weißen Liste übereinstimmen.

Nicht zulassen sollte man z.B. das Hochladen von htaccess- und
htpassword-Dateien. Ebenso das Hochladen aller ausführbaren Dateien mit
Endungen wie .pl, .php, .php3, .php4, .php5 Usw.


Viele Grüße

Lutz

Vorherige Nachricht: [php] Hackangriff??
Nächste Nachricht: [php] Hackangriff??
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive