[HaBo]
| Webmaster-Security Fragen zur richtigen Serverkonfiguration oder Absicherung dynamischer Scripte gehören hier hinein. |
Welche Dateien sind auf einem Server ausführbar?
Diskussion: Welche Dateien sind auf einem Server ausführbar? im Forum Webmaster-Security, in der Kategorie Security Area; Anzeige Ja, die Frage steht oben. Über eine Liste würd ich mich sehr freuen. (PS: Ja, ich hab Google gefragt ...
 |
19.12.06, 19:17
| #1 (permalink) |
| Registriert seit: 25.07.06  Likes: 0 |  Welche Dateien sind auf einem Server ausführbar? Anzeige Ja, die Frage steht oben. Über eine Liste würd ich mich sehr freuen. (PS: Ja, ich hab Google gefragt und auch die Sufu benutzt.) |
|  |
|
19.12.06, 19:23
| #2 (permalink) |
| Administrator   Registriert seit: 02.10.01  Likes: 30 | ? Was meinst du? Formulier deine Frage mal ausführlicher.
__________________ RL sux big time... auch 2012! Deleting pr0n is like killing your best friend [HaBo] bei Facebook - Werde Fan |
|
| |
| HaBOT | - Anzeige - |
|
|
19.12.06, 19:46
| #3 (permalink) |
| Themenstarter Registriert seit: 25.07.06 Likes: 0 | Hab ich mir schon gedacht... Sorry! Ich meine Dateien, die beim Aufruf z.b. andere Dateien auf dem Server lesen können, schreiben können usw. Also solche Dateien, bei denen man bei einem Upload auf den Server vorsichtig sein sollte. |
|
| |
|
19.12.06, 19:55
| #4 (permalink) |
| Registriert seit: 03.09.06  Likes: 0 | Also, entweder ich hab zuviel Bier getrunken heute abend (halbes Glas), oder ich bin immer noch nüchtern und versteh den Sinn der Frage immer noch nicht. |
|
| |
|
19.12.06, 19:59
| #5 (permalink) |
| Moderator  Registriert seit: 19.06.06 Likes: 52 | ich vermute er meint sowas wie .exe , .bat... (also aus der windowswelt) und entsprechendes noch aus der linuxwelt. wobei man unter linux ja vieles ausführen kann sofern entsprechende rechte gesetzt sind. so, ich hoffe ich hab die frage richtig verstanden. |
|
| |
|
19.12.06, 20:01
| #6 (permalink) |
| Themenstarter Registriert seit: 25.07.06 Likes: 0 | Stell dir folgendes vor: Ein Benutzer lädt bei einem Upload-Service ein Bild hoch. Nix schlimmes. Nun aber lädt er die Datei gefährlich.php hoch und ruft sie im Browser auf. Somit wird die Datei auf dem Server ausgeführt und es steht irgentwas gaaanz böses drin. Nun wollte ich wissen welche Dateien für einen solchen Zweck benutzt werden könnten. Aber jetzt habt ihrs verstanden oder? >.< |
|
| |
|
19.12.06, 20:12
| #7 (permalink) |
| Registriert seit: 03.09.06 Likes: 0 | Jo, vestanden - aber so einfach wie du dir das vorstellst ist das dann nicht, da es immer noch auf die Konfiguration des Servers ankommt auf den man was hochlädt - auf einem Server auf dem php läuft wärs natürlich recht dümmlich wenn da jeder php-skripte drauf ausführen kann, ist der Server aber ein reiner Fileserver, dann kannst du dir dann 20.000 php-skripte draufladen (lassen), da kann dann nichts passieren weil diese erst gar nicht ausgeführt werden können. Daher ist deine Frage, wenn du die weiterhin so allgemein halten willst, nicht zu beantworten. |
|
| |
|
19.12.06, 20:16
| #8 (permalink) |
| Themenstarter Registriert seit: 25.07.06 Likes: 0 | Ja, läuft (leider) php drauf. |
|
| |
|
19.12.06, 20:20
| #9 (permalink) |
| Registriert seit: 03.09.06 Likes: 0 | Wieso leider? Wenns das nicht brauchst auf deinem Server, dann schmeiss es runter, das gilt übrigens für alle überflüssigen Dienste die nicht benötigt werden. |
|
| |
|
19.12.06, 20:24
| #10 (permalink) |
| Themenstarter Registriert seit: 25.07.06 Likes: 0 | Das leider eigentlich deswegen, weil ich es brauche. Ich kann es nicht zufällig für ein Verzeichnis abschalten oder? ....... .. . |
|
| |
|
19.12.06, 20:39
| #11 (permalink) |
| Senior Member Registriert seit: 27.06.04 Likes: 0 | http://de3.php.net/manual/de/features.file-upload.php Mache einfache eine Whitelist für erlaubte Dateitypen und verwerfe alle anderen. D.h. lass dein Upload-Script die Dateitypen vergleichen. |
|
| |
|
19.12.06, 20:41
| #12 (permalink) |
| Themenstarter Registriert seit: 25.07.06 Likes: 0 | Danke ^^ dann mach ich ne Whitelist. Ist wahrscheinlich sogar noch sicherer. Viel mehr muss ich dann nicht beachten oder? |
|
| |
|
19.12.06, 20:49
| #13 (permalink) |
| Guest Likes: | Lad es in ein Verzeichnis außerhalb des web-Roots hoch und lass die Dateien per Skript aufrufen. Dabei kannst du z.b. auf den Typ schliessen und du kannst die dateien eventl. auf viren, etc überprüfen, usw. Da sollte man doch genügend Ideen haben, um sich vor fremden Skripten zu schützen  |
| |
|
19.12.06, 20:57
| #14 (permalink) |
| Registriert seit: 20.01.03 Likes: 0 | Kannst es generell abschalten indem du in der /etc/php.ini etwas einträgst: Code: disable_functions = system, shell_exec, exec |
|
| |
|
19.12.06, 22:03
| #15 (permalink) |
| Moderator Registriert seit: 14.02.06   Likes: 21 | Die php.ini-Direktiven helfen ja nix, wenn man dennoch ausführbare Skripte von PHP parsen lässt. Denn nur wenn shell_exec() gesperrt ist (oder selbst wenn der safe_mode aktiviert ist), kann man dennoch eine Menge Mist anstellen, in der Datenbank rumwursteln etc. Eine generelle Blacklist, die alle Dateiformate beinhaltet, die der Apache zur Weiterverarbeitung an PHP oder andere Scriptsprachen weiterleitet, ist da wesentlich sicherer. Oder eine Whitelist für eine Handvoll unbedenklicher Dateitypen... |
|
| |
|
| - Anzeige - | |
|
|
[HaBo] » Security Area » Webmaster-Security » Welche Dateien sind auf einem Server ausführbar?
| Themen-Optionen | |
| Ansicht | |
Linear-Darstellung
| |
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| Welche Dateien sind auf einem Server ausführbar? | valenterry | Internet Allgemein | 14 | 19.12.06 22:03 |
| Welche Kenntnisse sind von Vorteil | ^quit | HaBo Lounge | 8 | 30.01.06 23:40 |
| Welche Verbindungen sind dass? | C.A.S.E. | (In)security allgemein | 4 | 07.11.04 17:59 |
| Welche Tiefkühlpizzen sind eure Favoriten? | maedmexx | Umfragen | 16 | 06.05.04 23:18 |
| Welche Winamp-Plugins sind Pflicht? | maedmexx | Music- & Filmbox | 6 | 03.09.02 14:23 |
