phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] QUelltext =?iso-8859-1?Q?sch=FCtzen?=

Ulf Wendel ulf.wendel_(at)_redsys.de
Fri, 29 Sep 2000 11:59:24 +0200

Previous message: [php] QUelltext =?iso-8859-1?Q?sch=FCtzen?=
Next message: [php] Returned mail: Service unavailable
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Alexander Wagner wrote:
> 
> > Wie kommst Du als Angreifer an eine Datei außerhalb des Document Roots
> > ran? Wenn dann mit einem der Bugs aus der CGI Steinzeit. Damals kamen
> > Spielchen auf, die auch noch heute im PHP Manual bei den Security
> > Hinweisen beschrieben sind, die Zugriff auf beliebige Dateien boten. Bei
> > den Angriffsvarianten wurde ein beliebiges File angezeigt ohne
> > irgendwelche Parserumwege.
> >
> > Was soll die Endung bringen?
> 
> Ganz einfach, dann kann der Quelltext sämtlicher include-Dateien nicht
> mehr angezeigt werden, da die PHP-Tags dann nicht als HTML an den
> Browser geschckt sondern interpretiert werden.
> Man hat nicht alle includes ausserhalb des Document-Root liegen, oder?

Wenn man keinen Wert auf Sicherheit legt, kann man sein etc/passwd auch
ins Document Root legen, stimmt schon. Selbst Templates haben nichts im
Document Root verloren.

Ulf

Previous message: [php] QUelltext =?iso-8859-1?Q?sch=FCtzen?=
Next message: [php] Returned mail: Service unavailable
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

php::bar PHP Wiki - Listenarchive