WinFuture-Forum.de: Php-dateien Downlaoden? - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Internet
Seite 1 von 1

Php-dateien Downlaoden? Kann der PHP-Code eingesehen werden?


#1 Mitglied ist offline   Frank955 

  • Gruppe: aktive Mitglieder
  • Beiträge: 272
  • Beigetreten: 07. Juni 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:Hamburg

geschrieben 31. März 2005 - 12:05

Hallo!
ich habe folgende Frage an die PHP-Freaks :blink:

Kann ein Programm meine PHP-Dateien meiner Homepage 'downloaden', so dass
man den PHP-Code, der ja normalerweise auf dem Webserver geparst wird, ansehen
kann?

Es gibt ja diverse Crawler b.z.w. Web-Site-Spy-Tools, die die Dateien auf die
Festplatte kopieren können...

Danke im Voraus!
Gruß Frank
System:
ASUS Sabertooth 990FX R2.0
CPU: AMD FX-8370
AMD Radeon RX 580 (Sapphire NITRO+ RX 580 8G G5)
16 GB RAM Cosair
Western Digital WDS250G2B0A (SSD)
BenQ EL2870U 4K 28"
Windows 10 Pro. 64Bit
0

Anzeige



#2 Mitglied ist offline   Graumagier 

  • Gruppe: aktive Mitglieder
  • Beiträge: 8.811
  • Beigetreten: 01. März 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Wohnort:Graz, Österreich

geschrieben 31. März 2005 - 12:09

Zitat

Kann ein Programm meine PHP-Dateien meiner Homepage 'downloaden', so dass
man den PHP-Code, der ja normalerweise auf dem Webserver geparst wird, ansehen
kann?

Das geht auch mit dem normalen Browser. Vorausgesetzt, du hast Zugriff auf das Verzeichnis, in dem das Skript liegt.
"If you make something idiot proof, someone will invent a better idiot." - Marvin

For Emails always use OpenPGP. My KeyID: 0xA1E011A4
0

#3 Mitglied ist offline   Frank955 

  • Gruppe: aktive Mitglieder
  • Beiträge: 272
  • Beigetreten: 07. Juni 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:Hamburg

geschrieben 31. März 2005 - 12:16

Zitat (Graumagier: 31.03.2005, 13:09)

Das geht auch mit dem normalen Browser. Vorausgesetzt, du hast Zugriff auf das Verzeichnis, in dem das Skript liegt.
<{POST_SNAPBACK}>

Hallo!
wie könnte ich mich davor schützen?
Angenommen in meiner 'index.php' ist nun diverser PHP-Code enthalten...
was könnte ich machen, dass andere das PHP-Script nicht lesen können?

Frank
System:
ASUS Sabertooth 990FX R2.0
CPU: AMD FX-8370
AMD Radeon RX 580 (Sapphire NITRO+ RX 580 8G G5)
16 GB RAM Cosair
Western Digital WDS250G2B0A (SSD)
BenQ EL2870U 4K 28"
Windows 10 Pro. 64Bit
0

#4 Mitglied ist offline   tobiasndw 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.815
  • Beigetreten: 24. September 03
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 31. März 2005 - 12:20

Nein, PHP-Dateien können nicht heruntergeladen werden.

Bei jedem Aufruf der PHP-Datei wird diese durch den Server geleitet welcher eben eine HTML-Datei daraus erzeugt. Auch "Webcrawler" können die PHP Datei nicht herunterladen.

Der Einzige Zugriff ist zb. über FTP mittels Kennwort.
0

#5 Mitglied ist offline   Graumagier 

  • Gruppe: aktive Mitglieder
  • Beiträge: 8.811
  • Beigetreten: 01. März 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Wohnort:Graz, Österreich

geschrieben 31. März 2005 - 12:23

Zitat

Nein, PHP-Dateien können nicht heruntergeladen werden.

Das kommt darauf an, wo sie liegen :blink:
Aber hast schon recht, solange sie im CGI-Verzeichnis liegen, kann man nicht ran.
"If you make something idiot proof, someone will invent a better idiot." - Marvin

For Emails always use OpenPGP. My KeyID: 0xA1E011A4
0

#6 Mitglied ist offline   Frank955 

  • Gruppe: aktive Mitglieder
  • Beiträge: 272
  • Beigetreten: 07. Juni 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:Hamburg

geschrieben 31. März 2005 - 12:27

Zitat (Graumagier: 31.03.2005, 13:23)

Das kommt darauf an, wo sie liegen :blink:
Aber hast schon recht, solange sie im CGI-Verzeichnis liegen, kann man nicht ran.
<{POST_SNAPBACK}>

Sorry, aber im cgi-Verzeichnis?
Ich habe auch bei uns in der Firma schon viele FTP-Verzeichnisse gesehen, aber
die PHP-Dateien waren nie im cgi-Verzeichnis!

Müssen dann PHP-Dateien unbedingt in dieses Verzeichnis?

Frank
System:
ASUS Sabertooth 990FX R2.0
CPU: AMD FX-8370
AMD Radeon RX 580 (Sapphire NITRO+ RX 580 8G G5)
16 GB RAM Cosair
Western Digital WDS250G2B0A (SSD)
BenQ EL2870U 4K 28"
Windows 10 Pro. 64Bit
0

#7 Mitglied ist offline   tobiasndw 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.815
  • Beigetreten: 24. September 03
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 31. März 2005 - 12:30

Nein, nicht unbedingt. Ist nur wichtig das die PHP-Dateien durch den Server geleitet werden. Das geschieht in den meisten Fällen auch außerhalb des CGI Verzeichnisses.
0

#8 Mitglied ist offline   Graumagier 

  • Gruppe: aktive Mitglieder
  • Beiträge: 8.811
  • Beigetreten: 01. März 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Wohnort:Graz, Österreich

geschrieben 31. März 2005 - 12:34

Ja, ich habs gerade gemerkt :blink:
Sorry, mein Fehler.
"If you make something idiot proof, someone will invent a better idiot." - Marvin

For Emails always use OpenPGP. My KeyID: 0xA1E011A4
0

#9 Mitglied ist offline   ichbines 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.725
  • Beigetreten: 06. Oktober 02
  • Reputation: 0
  • Wohnort:Parndorf (Österreich)
  • Interessen:Computer, Linux

geschrieben 31. März 2005 - 12:36

Hallo

Also normalerweise kann man sich die PHP-Datei nicht anschauen.
Wenn allerdings in der Adresszeile folgendes steht:

http://maier.at/foto...otos/foto1.html

Dann ist es problemlos möglich den PHP-Quellcode anzuschauen. Man muss nur den file-Paramter ändern. Deshalb sollte man diese Variante vermeiden. Man könnte mit dieser Variante auch z.B. Dateien löschen.

http://maier.at/foto...../../../bin/rm

usw. Weiß nicht mehr genau. Habe es allerdings auf der Cebit beim livehacking gesehen.


Ok, es gibt auch Apache Module die sowas verhindern können. Aber das müsste halt installiert und eingerichtet sein.

Dieser Beitrag wurde von ichbines bearbeitet: 31. März 2005 - 12:37

0

#10 _Fenix_

  • Gruppe: Gäste

geschrieben 31. März 2005 - 12:40

Ich hab nen anderen Tipp für dich...
Wenn du selbst an den Server rankommst, schmeiß die PHP dateien lesbar für den Apache in ein Verzeichnis, was nicht vom über http zugänglich ist und include sie einfach da wo du sie haben willst..
Beispiel:

/home/Fenix/phps/dollesscript.php
<?
 echo "ich bin toll und ihr seids nicht";
?>


/home/Fenix/public_html/index.php
<?
 include "/home/Fenix/phps/dollesscript.php"
?>


dann noch:
chmod 644 /home/Fenix/phps/dollesscript.php


und schon kann keiner mehr ausm Web auf das script zugreifen...

@ichbines das geht aber auch nur, wenn register_globals auf on ist oder mit irgendwelchen speziell dafür geprogten php scripts. Außerdem kann man meistens eh nichts auf dem Weg erreichen, weil kein mensch den Apache mit root oder normalen benutzer Rechten startet.

Dieser Beitrag wurde von Fenix bearbeitet: 31. März 2005 - 12:44

0

#11 Mitglied ist offline   Frank955 

  • Gruppe: aktive Mitglieder
  • Beiträge: 272
  • Beigetreten: 07. Juni 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:Hamburg

geschrieben 31. März 2005 - 12:53

Zitat (Fenix: 31.03.2005, 13:40)

chmod 644

Sorry, aber noch eine dumme Frage:
wie komme ich auf 'chmod 644'?
Ich arbeite mit WS_ftp...
Im Moment ist es so:Angehängtes Bild: ftp_1.jpg
Frank
System:
ASUS Sabertooth 990FX R2.0
CPU: AMD FX-8370
AMD Radeon RX 580 (Sapphire NITRO+ RX 580 8G G5)
16 GB RAM Cosair
Western Digital WDS250G2B0A (SSD)
BenQ EL2870U 4K 28"
Windows 10 Pro. 64Bit
0

#12 _Fenix_

  • Gruppe: Gäste

geschrieben 31. März 2005 - 13:01

das auf den Screenshot is ok so
0

#13 Mitglied ist offline   ichbines 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.725
  • Beigetreten: 06. Oktober 02
  • Reputation: 0
  • Wohnort:Parndorf (Österreich)
  • Interessen:Computer, Linux

geschrieben 31. März 2005 - 13:15

Zitat

@ichbines das geht aber auch nur, wenn register_globals auf on ist oder mit irgendwelchen speziell dafür geprogten php scripts. Außerdem kann man meistens eh nichts auf dem Weg erreichen, weil kein mensch den Apache mit root oder normalen benutzer Rechten startet.
<{POST_SNAPBACK}>

Hm, die Einzelheiten weiß ich nicht genau.
Aber auf jedenfall haben dir dort auf 2 Seiten live demonstriert, wie man auf einer Wiki Seite und einer anderen Seite das Passwort aus einer Konfiguationsdatei auslesen konnte. (mit diesem Trick von oben) und beliebige Seiten löschen konnte. Es hatte problemlos funktioniert. Als sie dann mod_security installiert haben, hat der Eingriff nicht mehr funktioniert.

Ja, anscheinend waren überhaupt keine Überprüfungen im Skript drinnen. Also mit dieser Variante solltest du vermeiden zu arbeiten.

Dieser Beitrag wurde von ichbines bearbeitet: 31. März 2005 - 13:17

0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0