Welche Dateien sind auf einem Server ausführbar?

V

valenterry

0
Ja, die Frage steht oben.
Über eine Liste würd ich mich sehr freuen.
(PS: Ja, ich hab Google gefragt und auch die Sufu benutzt.)
 
?

Was meinst du? Formulier deine Frage mal ausführlicher.
 
Hab ich mir schon gedacht...
Sorry!
Ich meine Dateien, die beim Aufruf z.b. andere Dateien auf dem Server lesen können, schreiben können usw.
Also solche Dateien, bei denen man bei einem Upload auf den Server vorsichtig sein sollte.
 
Also, entweder ich hab zuviel Bier getrunken heute abend (halbes Glas), oder ich bin immer noch nüchtern und versteh den Sinn der Frage immer noch nicht.
 
ich vermute er meint sowas wie .exe , .bat... (also aus der windowswelt) und entsprechendes noch aus der linuxwelt. wobei man unter linux ja vieles ausführen kann sofern entsprechende rechte gesetzt sind. so, ich hoffe ich hab die frage richtig verstanden.
 
Stell dir folgendes vor:

Ein Benutzer lädt bei einem Upload-Service ein Bild hoch.
Nix schlimmes.
Nun aber lädt er die Datei gefährlich.php hoch und ruft sie im Browser auf.
Somit wird die Datei auf dem Server ausgeführt und es steht irgentwas gaaanz böses drin.
Nun wollte ich wissen welche Dateien für einen solchen Zweck benutzt werden könnten.

Aber jetzt habt ihrs verstanden oder? >.<
 
Jo, vestanden - aber so einfach wie du dir das vorstellst ist das dann nicht, da es immer noch auf die Konfiguration des Servers ankommt auf den man was hochlädt - auf einem Server auf dem php läuft wärs natürlich recht dümmlich wenn da jeder php-skripte drauf ausführen kann, ist der Server aber ein reiner Fileserver, dann kannst du dir dann 20.000 php-skripte draufladen (lassen), da kann dann nichts passieren weil diese erst gar nicht ausgeführt werden können.

Daher ist deine Frage, wenn du die weiterhin so allgemein halten willst, nicht zu beantworten.
 
Wieso leider? Wenns das nicht brauchst auf deinem Server, dann schmeiss es runter, das gilt übrigens für alle überflüssigen Dienste die nicht benötigt werden.
 
Lad es in ein Verzeichnis außerhalb des web-Roots hoch und lass die Dateien per Skript aufrufen. Dabei kannst du z.b. auf den Typ schliessen und du kannst die dateien eventl. auf viren, etc überprüfen, usw. Da sollte man doch genügend Ideen haben, um sich vor fremden Skripten zu schützen ;)
 
Kannst es generell abschalten indem du in der /etc/php.ini etwas einträgst:

Code: 
disable_functions = system, shell_exec, exec

Ob und wie das auch für ein einzelnes Verzeichnis geht ... keine Ahnung.
 
Die php.ini-Direktiven helfen ja nix, wenn man dennoch ausführbare Skripte von PHP parsen lässt. Denn nur wenn shell_exec() gesperrt ist (oder selbst wenn der safe_mode aktiviert ist), kann man dennoch eine Menge Mist anstellen, in der Datenbank rumwursteln etc.

Eine generelle Blacklist, die alle Dateiformate beinhaltet, die der Apache zur Weiterverarbeitung an PHP oder andere Scriptsprachen weiterleitet, ist da wesentlich sicherer. Oder eine Whitelist für eine Handvoll unbedenklicher Dateitypen...
 
Mach doch ein Zusätzliches Skript, dass die heraufgeladene Dateien einliest und so zum Download anbietet. Der Aufruf für den Download ist dann z.b so: download.php?file=irgendetwas.php oder fileid=23 oder so. Dann wird der Code sicher nicht ausgeführt.
 
Original von adrian90
Mach doch ein Zusätzliches Skript, dass die heraufgeladene Dateien einliest und so zum Download anbietet. Der Aufruf für den Download ist dann z.b so: download.php?file=irgendetwas.php oder fileid=23 oder so. Dann wird der Code sicher nicht ausgeführt.
Zum Vergrößern anklicken....

Von 'download.php?file=dateiname.ext' würde ich abraten, da damit jede beliebige Datei zugängig wäre, wenn es nicht sauber programmiert ist. Besser ist es die Dateien entweder als BLOBs in einer DB abzulegen oder aber eine Dateiliste zu nutzen, in der jeder Datei eine eindeutige ID zugeordnet ist und der Zugriff nur über diese ID erfolgen kann. Die Idee mit 'fileid=23' ist daher sicherlich die bessere.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben