Mailinglisten-Archive |
Aloha Hans, > ---------- > Von: Hans Tolzin[SMTP:hans_(at)_tolzin.de] > > Meine Admin-Verzeichnisse mit phpmyadmin ect. schuetze ich > auf jeden Fall durch .htaccess - kennwort. > > Solange niemand mein ftp-passwort knackt, kann ja sonst kaum > was passieren, richtig? > Nicht so ganz. Erst letztens hatte ich ein prima Downloadscript auf einer sehr frequentierten Seite gesehen. Das Script bekam den Pfadnamen der zu sendenen Datei angehaengt... Sinn des ganzen war wohl, die Anzahl der Downloads zu zaehlen. Der Aufruf war ungefaehr so: ...dl.php3?verzeichnis/dateiname.zip Frech wie ich war gab ich mal das ein: ...dl.php3?../../../../../../../etc/passwd Und bekam eine wunderschoene passwd, sogar mit verschluesselten Passwoertern ... ob die taten oder nicht hatte ich nicht ausprobiert. Aber in diesem fall hilft auch eine .htaccess nicht, da die ja nur wirksam ist, wenn das file direct ueber den Webserver geladen wird. Naja ich hab dem Betreiber mal ne Mail geschickt .... Gruesse, Mathias
php::bar PHP Wiki - Listenarchive