Php-dateien Downlaoden? Kann der PHP-Code eingesehen werden?
#1
geschrieben 31. März 2005 - 12:05
ich habe folgende Frage an die PHP-Freaks
Kann ein Programm meine PHP-Dateien meiner Homepage 'downloaden', so dass
man den PHP-Code, der ja normalerweise auf dem Webserver geparst wird, ansehen
kann?
Es gibt ja diverse Crawler b.z.w. Web-Site-Spy-Tools, die die Dateien auf die
Festplatte kopieren können...
Danke im Voraus!
Gruß Frank
ASUS Sabertooth 990FX R2.0
CPU: AMD FX-8370
AMD Radeon RX 580 (Sapphire NITRO+ RX 580 8G G5)
16 GB RAM Cosair
Western Digital WDS250G2B0A (SSD)
BenQ EL2870U 4K 28"
Windows 10 Pro. 64Bit
Anzeige
#2
geschrieben 31. März 2005 - 12:09
Zitat
man den PHP-Code, der ja normalerweise auf dem Webserver geparst wird, ansehen
kann?
Das geht auch mit dem normalen Browser. Vorausgesetzt, du hast Zugriff auf das Verzeichnis, in dem das Skript liegt.
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#3
geschrieben 31. März 2005 - 12:16
Zitat (Graumagier: 31.03.2005, 13:09)
<{POST_SNAPBACK}>
Hallo!
wie könnte ich mich davor schützen?
Angenommen in meiner 'index.php' ist nun diverser PHP-Code enthalten...
was könnte ich machen, dass andere das PHP-Script nicht lesen können?
Frank
ASUS Sabertooth 990FX R2.0
CPU: AMD FX-8370
AMD Radeon RX 580 (Sapphire NITRO+ RX 580 8G G5)
16 GB RAM Cosair
Western Digital WDS250G2B0A (SSD)
BenQ EL2870U 4K 28"
Windows 10 Pro. 64Bit
#4
geschrieben 31. März 2005 - 12:20
Bei jedem Aufruf der PHP-Datei wird diese durch den Server geleitet welcher eben eine HTML-Datei daraus erzeugt. Auch "Webcrawler" können die PHP Datei nicht herunterladen.
Der Einzige Zugriff ist zb. über FTP mittels Kennwort.
#5
geschrieben 31. März 2005 - 12:23
Zitat
Das kommt darauf an, wo sie liegen
Aber hast schon recht, solange sie im CGI-Verzeichnis liegen, kann man nicht ran.
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#6
geschrieben 31. März 2005 - 12:27
Zitat (Graumagier: 31.03.2005, 13:23)
Aber hast schon recht, solange sie im CGI-Verzeichnis liegen, kann man nicht ran.
<{POST_SNAPBACK}>
Sorry, aber im cgi-Verzeichnis?
Ich habe auch bei uns in der Firma schon viele FTP-Verzeichnisse gesehen, aber
die PHP-Dateien waren nie im cgi-Verzeichnis!
Müssen dann PHP-Dateien unbedingt in dieses Verzeichnis?
Frank
ASUS Sabertooth 990FX R2.0
CPU: AMD FX-8370
AMD Radeon RX 580 (Sapphire NITRO+ RX 580 8G G5)
16 GB RAM Cosair
Western Digital WDS250G2B0A (SSD)
BenQ EL2870U 4K 28"
Windows 10 Pro. 64Bit
#7
geschrieben 31. März 2005 - 12:30
#8
geschrieben 31. März 2005 - 12:34
Sorry, mein Fehler.
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#9
geschrieben 31. März 2005 - 12:36
Also normalerweise kann man sich die PHP-Datei nicht anschauen.
Wenn allerdings in der Adresszeile folgendes steht:
http://maier.at/foto...otos/foto1.html
Dann ist es problemlos möglich den PHP-Quellcode anzuschauen. Man muss nur den file-Paramter ändern. Deshalb sollte man diese Variante vermeiden. Man könnte mit dieser Variante auch z.B. Dateien löschen.
http://maier.at/foto...../../../bin/rm
usw. Weiß nicht mehr genau. Habe es allerdings auf der Cebit beim livehacking gesehen.
Ok, es gibt auch Apache Module die sowas verhindern können. Aber das müsste halt installiert und eingerichtet sein.
Dieser Beitrag wurde von ichbines bearbeitet: 31. März 2005 - 12:37
#10 _Fenix_
geschrieben 31. März 2005 - 12:40
Wenn du selbst an den Server rankommst, schmeiß die PHP dateien lesbar für den Apache in ein Verzeichnis, was nicht vom über http zugänglich ist und include sie einfach da wo du sie haben willst..
Beispiel:
/home/Fenix/phps/dollesscript.php
<? echo "ich bin toll und ihr seids nicht"; ?>
/home/Fenix/public_html/index.php
<? include "/home/Fenix/phps/dollesscript.php" ?>
dann noch:
chmod 644 /home/Fenix/phps/dollesscript.php
und schon kann keiner mehr ausm Web auf das script zugreifen...
@ichbines das geht aber auch nur, wenn register_globals auf on ist oder mit irgendwelchen speziell dafür geprogten php scripts. Außerdem kann man meistens eh nichts auf dem Weg erreichen, weil kein mensch den Apache mit root oder normalen benutzer Rechten startet.
Dieser Beitrag wurde von Fenix bearbeitet: 31. März 2005 - 12:44
#11
geschrieben 31. März 2005 - 12:53
Zitat (Fenix: 31.03.2005, 13:40)
Sorry, aber noch eine dumme Frage:
wie komme ich auf 'chmod 644'?
Ich arbeite mit WS_ftp...
Im Moment ist es so:
Frank
ASUS Sabertooth 990FX R2.0
CPU: AMD FX-8370
AMD Radeon RX 580 (Sapphire NITRO+ RX 580 8G G5)
16 GB RAM Cosair
Western Digital WDS250G2B0A (SSD)
BenQ EL2870U 4K 28"
Windows 10 Pro. 64Bit
#13
geschrieben 31. März 2005 - 13:15
Zitat
<{POST_SNAPBACK}>
Hm, die Einzelheiten weiß ich nicht genau.
Aber auf jedenfall haben dir dort auf 2 Seiten live demonstriert, wie man auf einer Wiki Seite und einer anderen Seite das Passwort aus einer Konfiguationsdatei auslesen konnte. (mit diesem Trick von oben) und beliebige Seiten löschen konnte. Es hatte problemlos funktioniert. Als sie dann mod_security installiert haben, hat der Eingriff nicht mehr funktioniert.
Ja, anscheinend waren überhaupt keine Überprüfungen im Skript drinnen. Also mit dieser Variante solltest du vermeiden zu arbeiten.
Dieser Beitrag wurde von ichbines bearbeitet: 31. März 2005 - 13:17