Seite 1 von 1
upload verzeichnisse zusätzlich absichern
Verfasst: 27.04.2006 15:44
von miccom
tag zusammen,
wie kann man upload verzeichnisse, in meinem fall verzeichnisse in welche nur bilder mit den endungen jpg, jpeg, png und gif geladen werden, zusätzlich in die richtung absichern, dass das ausführen von skripten (zb. php, pl, cgi, etc.) nicht mehr möglich ist?
ich habs mal mit einer .htaccess versucht:
Code: Alles auswählen
RemoveHandler cgi-script .php .phps .php3 .php4 .php5 .phtml .cgi .pl .py .rb .tcl
RemoveType application/x-httpd-php .php .php3 .php4 .php5 .phtml .cgi .pl .py .rb .tcl
aber das php-skript was ich per ftp raufgeladen habe, läuft trotzdem noch...
Verfasst: 27.04.2006 20:17
von Pyramide
Wie wärs hiermit?
Code: Alles auswählen
Order Deny,Allow
Deny From All
<FilesMatch \.(gif|jpe?g|png)$>
Allow From All
</FilesMatch>
Verfasst: 27.04.2006 21:28
von miccom
danke, das funktioniert scheinbar (also in meinen tests) einmalig!
btw: ist das eine grobe fehlkonfiguration meines servers (dank strato) oder ein feature das php skripte auch so ausgeführt werden können: script.php.jpg
Verfasst: 02.05.2006 15:21
von miccom
auf seite 2
- *schieb*
danke!
Verfasst: 12.05.2006 18:00
von miccom
weiss dazu keiner was?
Verfasst: 12.05.2006 18:07
von S2B
Ich würde mal sagen, dass das eher nach einer Fehlkonfiguration aussieht, denn mein lokaler Apache macht sowas nicht.
Verfasst: 12.05.2006 18:21
von miccom
S2B hat geschrieben:Ich würde mal sagen, dass das eher nach einer Fehlkonfiguration aussieht, denn mein lokaler Apache macht sowas nicht.
irgendeine idee, wo sich dafür der parameter verstecken könnte?
btw: ich kenne sites die verwenden das als "feature" um php generierte bilder in bbtags darstellen zu können.
Verfasst: 12.05.2006 18:46
von S2B
miccom hat geschrieben:btw: ich kenne sites die verwenden das als "feature" um php generierte bilder in bbtags darstellen zu können.
Dieses "Feature" sollte aber nur in Ausnahmefällen aktiviert werden (mit mod_rewrite). Außerdem sollte dafür
eigentlich der User zuständig sein. Der Provider muss dafür sorgen, dass der Server sicher ist, und das ist mit dieser Konfiguration leider nicht der Fall.
(besser gesagt: Das Risiko, dass es Sicherheitslücken durch die "Enduser" gibt, ist wesentlich höher).
Wirklich erklären kann ich mir dieses Verhalten auch nicht. Das einzige, das ich mir vorstellen könnte, wäre sowas:
Aber ich hoffe mal, dass sowas kein Provider in seine Konfiguration schreiben wird...
Verfasst: 14.05.2006 14:59
von miccom
S2B hat geschrieben:
Aber ich hoffe mal, dass sowas kein Provider in seine Konfiguration schreiben wird...
strato kann mir scheinbar nicht sagen, wo sie diesen parameter versteckt haben, habe imho schon überall nachgesehen und kann den paramter einfach nicht finden. ein AddType wie dein beispiel existiert aber nicht. in meinen mime.types steht korrekt:
Code: Alles auswählen
image/jpeg jpeg jpg jpe
application/x-httpd-php phtml pht php
/e jetzt habe ich was entdeckt und zwar wird bei den mime-types ein modul mod_mime_magic includiert welche scheinbar files aufgrund des inhaltes einer applikation zuordnen kann. die muss ich mir mal näher ansehen...
/e hmm, doch nicht, erstens wird php in diesem magic file nicht erwähnt und als ich es auskommentiert hatte wurde jpg.php noch immer ausgeführt.