CronJob-Service
bei SELFPHP mit ...
|
+ minütlichen Aufrufen
+ eigenem Crontab Eintrag
+ unbegrenzten CronJobs
+ Statistiken
+ Beispielaufrufen
+ Control-Bereich
Führen Sie mit den CronJobs von
SELFPHP zeitgesteuert Programme
auf Ihrem Server
aus. Weitere Infos
|
:: Anbieterverzeichnis ::
Globale Branchen
Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP
:: Newsletter ::
Abonnieren Sie hier den kostenlosen
SELFPHP Newsletter!
|
Off Topic Area Hierein gehört alles, was nichts mit PHP, MySQL, Apache oder ähnlichem zu tun hat |
25.03.2003, 14:49:43
|
Anfänger
|
|
Registriert seit: Mar 2003
Beiträge: 60
|
|
Genau, finde ich auch so
Mir geht es eigentlich darum, dass nicht durch Variablen einer ein Systembefehl ausführt und somit Dateien löscht.
|
25.03.2003, 14:51:18
|
|
durch Variablen kann keiner einen Systembefehl ausführen solange Du nicht
eval($variable) oder passthru($var) irgendwo einbaust!
|
25.03.2003, 14:54:39
|
|
Administrator
|
|
Registriert seit: Apr 2002
Ort: Bergheim
Alter: 41
Beiträge: 5.255
|
|
eine beliebige funktion von aussen (im browser) aus aufzurufen ist eh nicht möglich (über die url zumindest).
__________________
Gruß |Coding
---
Qozido® - Die Bilderverwaltung mit Logbuch für Taucher und Schnorchler.
www.qozido.de
|
25.03.2003, 15:21:06
|
Anfänger
|
|
Registriert seit: Mar 2003
Beiträge: 60
|
|
AHA
Wenn ich also nirgends eval oder passthru verwende, kann keiner mir Dateien löschen (solang man nicht per FTP an die Daten kommt) und wenn keiner mein htaccess knackt bin ich sicher?
|
25.03.2003, 15:23:55
|
|
Dem würde ich zustimmen. Selbst wenn er .htaccess knackt heißt das noch lange nicht das er Dateien löschen kann - nur wenn halt ein Script hinter .htaccess ist, mit dem man dann Dateien löschen kann kann ein Angreifer was machen!
|
25.03.2003, 15:39:21
|
|
Administrator
|
|
Registriert seit: Apr 2002
Ort: Bergheim
Alter: 41
Beiträge: 5.255
|
|
ich kann mir gut vorstellen das, wenn es einer schafft die .htaccess zu knacken, dann sollte auch anderes agieren auf dem server für diesen user kein problem sein, da muss nicht unbedingt ein script sein. das würde es sicher nur leichert machen.
__________________
Gruß |Coding
---
Qozido® - Die Bilderverwaltung mit Logbuch für Taucher und Schnorchler.
www.qozido.de
|
25.03.2003, 15:49:41
|
Anfänger
|
|
Registriert seit: Mar 2003
Beiträge: 60
|
|
Super
thx für alle Antworten! Damit fühle ich mich auf der sicheren Seite!
Ach übrigens, ich muß schon sagen, hier bekommt man kompetente Antworten in kürzester Zeit!!!
Respekt, kennt man nicht von vielen Foren!
Geändert von FourSix (25.03.2003 um 22:45:52 Uhr)
|
25.03.2003, 17:55:09
|
SELFPHP Guru
|
|
Registriert seit: Jul 2002
Ort: Oberursel
Alter: 54
Beiträge: 4.748
|
|
Noch ein Tippchen: Wenn Du auf Deiner Homepage ein Uploadskript hast, dann schütze das! So ein Skript ist das Paradies für jeden Angreifer auf jeder Website!
Es ist schließlich ein leichtes eine Datei hochzuladen, welche dann alle Rechte hat - außer das Skript nimmt der Datei automatisch alle (hab ich noch nicht vorgefunden;) Es hilft auch nicht Dateien mit der Endung .php zu verbieten: Meist klappt ein boesesskript.php?x=gif aus, um das Uploadskript zu überlisten!
Also: Vorsichtig sein mit sowas!
Ein kleiner historischer Rückblick: Bei den Communities von cassiopeia war es möglich E-Mails an Mitglieder zu verschicken, die im Anhang ein Java-Applet hatten. Wurde die Mail angezeigt führte sich dieses Applet auf dem Server aus und verschickte die aktuelle SessionID des Nutzers an die Person, von der die Mail kommt. Somit hatte dieser alle Rechte mit diesem Nick.
Dieser Bug wurde inzwischen behoben, weshalb ich mir eine Veröffentlichung unter |Codings wachsamen Auge erlaube. ;)
|
25.03.2003, 18:42:37
|
|
Administrator
|
|
Registriert seit: Apr 2002
Ort: Bergheim
Alter: 41
Beiträge: 5.255
|
|
Zitat:
Original geschrieben von _c_4_
Ein kleiner historischer Rückblick: Bei den Communities von cassiopeia war es möglich E-Mails an Mitglieder zu verschicken, die im Anhang ein Java-Applet hatten. Wurde die Mail angezeigt führte sich dieses Applet auf dem Server aus und verschickte die aktuelle SessionID des Nutzers an die Person, von der die Mail kommt. Somit hatte dieser alle Rechte mit diesem Nick.
Dieser Bug wurde inzwischen behoben, weshalb ich mir eine Veröffentlichung unter |Codings wachsamen Auge erlaube. ;)
|
da wollen wir ja man nicht so sein. schwein gehabt :-)
__________________
Gruß |Coding
---
Qozido® - Die Bilderverwaltung mit Logbuch für Taucher und Schnorchler.
www.qozido.de
|
25.03.2003, 22:49:46
|
Anfänger
|
|
Registriert seit: Mar 2003
Beiträge: 60
|
|
@c4 und wie kann ich ein Upload-Script schützen, ausser bestimmte Endungen zu erlauben?
Wie ist es mit dem WoltlabBurningBoard2 ist dort auch dieser Bug?
|
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
|
|
Forumregeln
|
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
HTML-Code ist aus.
|
|
|
Alle Zeitangaben in WEZ +2. Es ist jetzt 07:17:36 Uhr.
|