phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] QUelltext =?iso-8859-1?Q?sch=FCtzen?=

Alexander Wagner wagner_(at)_globalpark.de
Fri, 29 Sep 2000 10:33:34 +0200

Previous message: [php] QUelltext =?iso-8859-1?Q?sch=FCtzen?=
Next message: [php] QUelltext =?iso-8859-1?Q?sch=FCtzen?=
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

> Wie kommst Du als Angreifer an eine Datei außerhalb des Document Roots
> ran? Wenn dann mit einem der Bugs aus der CGI Steinzeit. Damals kamen
> Spielchen auf, die auch noch heute im PHP Manual bei den Security
> Hinweisen beschrieben sind, die Zugriff auf beliebige Dateien boten. Bei
> den Angriffsvarianten wurde ein beliebiges File angezeigt ohne
> irgendwelche Parserumwege.
> 
> Was soll die Endung bringen?

Ganz einfach, dann kann der Quelltext sämtlicher include-Dateien nicht
mehr angezeigt werden, da die PHP-Tags dann nicht als HTML an den
Browser geschckt sondern interpretiert werden.
Man hat nicht alle includes ausserhalb des Document-Root liegen, oder?
War ja auch nur ne Bemerkung, dass man dies _zusätzlich_ machen sollte.

Gesundheit
Wagner

-- 
If you can't learn to do something well, learn to enjoy doing it poorly.

Previous message: [php] QUelltext =?iso-8859-1?Q?sch=FCtzen?=
Next message: [php] QUelltext =?iso-8859-1?Q?sch=FCtzen?=
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

php::bar PHP Wiki - Listenarchive