|
Vorsicht vor der standard Apache2 Konfiguration für PHP
|
|
23-09-2010, 09:53 AM
Beitrag #1
|
|||
|
|||
|
Vorsicht vor der standard Apache2 Konfiguration für PHP
Vorsicht vor der standard Apche2 Konfiguration für PHP
Wer sich fragt wie Apache2 mit PHP umgeht wird unter einigen Distrubtionen folgende Konfiguration finden: Code: <IfModule mod_mime.c>Das nicht ganz offensichtliche Problem an dieser Einstellung ist, dass nicht nur eine Datei mit der Endung .php als PHP-Datei behandelt wird (z.B. datei.php) sondern JEDE Datei, welche .php im Namen trägt. Im Klartext heisst das, dass selbst eine Datei mit dem Namen datei.php.txt als PHP-Datei behandelt wird. Viele Upload-Script erlauben die anscheind harmlosen Endungen wie z.B. .txt. Dies kann dazu führen, dass ein "Hacker" eine bösartige Shell Datei auf dem Server platzieren kann. Wer sich vor diesem groben Fehler schützen möchte sollte den obrigen Abschnitt der Konfiguration durch folgendes ersetzen: Code: <IfModule mod_mime.c>Der Unterschied zwischen diesen beiden Konfigurationen ist, dass mit AddType auch wirklich nur "echte" PHP-Dateien ausgeführt werden. MfG Florian 10.10.10 Le roi est mort! Vive le roi! |
|||
|
|
|
Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste
