upload verzeichnisse zusätzlich absichern

miccom · Beitrag von **miccom** » 27.04.2006 15:44

tag zusammen,

wie kann man upload verzeichnisse, in meinem fall verzeichnisse in welche nur bilder mit den endungen jpg, jpeg, png und gif geladen werden, zusätzlich in die richtung absichern, dass das ausführen von skripten (zb. php, pl, cgi, etc.) nicht mehr möglich ist?

ich habs mal mit einer .htaccess versucht:

Code: Alles auswählen

RemoveHandler cgi-script .php .phps .php3 .php4 .php5 .phtml .cgi .pl .py .rb .tcl
RemoveType application/x-httpd-php .php .php3 .php4 .php5 .phtml .cgi .pl .py .rb .tcl

aber das php-skript was ich per ftp raufgeladen habe, läuft trotzdem noch...

Beitrag von **Pyramide** » 27.04.2006 20:17

Wie wärs hiermit?

Code: Alles auswählen

Order Deny,Allow
Deny From All
<FilesMatch \.(gif|jpe?g|png)$>
Allow From All
</FilesMatch>

miccom · Beitrag von **miccom** » 27.04.2006 21:28

danke, das funktioniert scheinbar (also in meinen tests) einmalig!

btw: ist das eine grobe fehlkonfiguration meines servers (dank strato) oder ein feature das php skripte auch so ausgeführt werden können: script.php.jpg

miccom · Beitrag von **miccom** » 02.05.2006 15:21

auf seite 2

- *schieb*

danke!

miccom · Beitrag von **miccom** » 12.05.2006 18:00

weiss dazu keiner was?

Beitrag von **S2B** » 12.05.2006 18:07

Ich würde mal sagen, dass das eher nach einer Fehlkonfiguration aussieht, denn mein lokaler Apache macht sowas nicht.

miccom · Beitrag von **miccom** » 12.05.2006 18:21

S2B hat geschrieben:Ich würde mal sagen, dass das eher nach einer Fehlkonfiguration aussieht, denn mein lokaler Apache macht sowas nicht.

irgendeine idee, wo sich dafür der parameter verstecken könnte?

btw: ich kenne sites die verwenden das als "feature" um php generierte bilder in bbtags darstellen zu können.

Beitrag von **S2B** » 12.05.2006 18:46

miccom hat geschrieben:btw: ich kenne sites die verwenden das als "feature" um php generierte bilder in bbtags darstellen zu können.

Dieses "Feature" sollte aber nur in Ausnahmefällen aktiviert werden (mit mod_rewrite). Außerdem sollte dafür eigentlich der User zuständig sein. Der Provider muss dafür sorgen, dass der Server sicher ist, und das ist mit dieser Konfiguration leider nicht der Fall.

(besser gesagt: Das Risiko, dass es Sicherheitslücken durch die "Enduser" gibt, ist wesentlich höher).

Wirklich erklären kann ich mir dieses Verhalten auch nicht. Das einzige, das ich mir vorstellen könnte, wäre sowas:

Code: Alles auswählen

AddType application/x-httpd-php .php.jpg

Aber ich hoffe mal, dass sowas kein Provider in seine Konfiguration schreiben wird...

miccom · Beitrag von **miccom** » 14.05.2006 14:59

S2B hat geschrieben:
Code: Alles auswählen
AddType application/x-httpd-php .php.jpg
Aber ich hoffe mal, dass sowas kein Provider in seine Konfiguration schreiben wird...

strato kann mir scheinbar nicht sagen, wo sie diesen parameter versteckt haben, habe imho schon überall nachgesehen und kann den paramter einfach nicht finden. ein AddType wie dein beispiel existiert aber nicht. in meinen mime.types steht korrekt:

Code: Alles auswählen

image/jpeg                      jpeg jpg jpe
application/x-httpd-php         phtml pht php

/e jetzt habe ich was entdeckt und zwar wird bei den mime-types ein modul mod_mime_magic includiert welche scheinbar files aufgrund des inhaltes einer applikation zuordnen kann. die muss ich mir mal näher ansehen...

/e hmm, doch nicht, erstens wird php in diesem magic file nicht erwähnt und als ich es auskommentiert hatte wurde jpg.php noch immer ausgeführt.