phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Ermitteln des gesamten Webspaceinhalts anhand einer Domain!?

https://www.phpbb.de/community/viewtopic.php?t=122839

Seite 1 von 1

Ermitteln des gesamten Webspaceinhalts anhand einer Domain!?

Verfasst: 06.06.2006 09:20
von mtsluft
Hallo,

hätte hier mal eine Frage, ich glaube ich bin auch im richtigen Forum:

Jemand hat mir gesagt, wenn ich ihm eine Domain gebe, könnte er sämtliche Dateien ermitteln, die in Verzeichnissen unter dieser Domain liegen.

Stimmt das?

Also ich kann das überhaupt nicht glauben. Das ganze sollte dann so funktionieren: Ich gebe eich z.b. meine Private Internetadresse, www.matthias-luft.de
Das ist ein normaler webspace, ohne SSL und ohne besondere CHMOD rechte. Könnte jetzt praktisch jede X-beliebige Peron kommen, und sich den gesamten Inhalt meines Webspaces downloaden bzw ansehen? Ich meine hier vorallem Dateien, die nur auf dem Space liegen, auf die es aber im ganzen WWW keine Links gibt.

Ich denke, es wäre sicherlich möglich, einige DAteien zu erraten, wie z.b. www.matthias-luft.de/impressum.htm, da es die impressum.htm bei fasdt jeder Website gibt, aber mehr kann ich mir da nicht vorstellen...

Danke für eine antwort!

Verfasst: 06.06.2006 10:07
von fanrpg
Natürlich geht das :)
http://www.atomfog.net/pics%20and%20mor ... xploit.jpg

Das Script habe ich mal getestet, funzt auf jedem Apache 8)

Verfasst: 06.06.2006 10:30
von mtsluft
Ahaha.... Und was ist das für ein Script?
Und geht das auch beim Onlinebanking der Sparkasse ??!! :lol:

Verfasst: 06.06.2006 10:51
von larsneo
Das Script habe ich mal getestet, funzt auf jedem Apache
...aber das ist sicherlich nicht alles an vorbedingungen (exploit in webapp, config des apache für url_fopen(), register_globals etc).

zur eigentlichen frage: solange du potentiellen angreifern keine schwachstelle für remote code injection / remote file etc. upload bietest (und die sind leider in wesentlich mehr webapps enthalten als man denkt...) kann man 'out-of-the-box' sicherlich nicht die verzeichnisinhalte grabben.

Verfasst: 06.06.2006 11:38
von mtsluft
zur eigentlichen frage: solange du potentiellen angreifern keine schwachstelle für remote code injection / remote file etc. upload bietest (und die sind leider in wesentlich mehr webapps enthalten als man denkt...) kann man 'out-of-the-box' sicherlich nicht die verzeichnisinhalte grabben.
Hoppla, hört sich dich ein bisschen zu komplex für mich an...
Also um es nochmal ganz einfach zu machen, wenn ich euch die domain www.matthias-luft.de gebe, könnt ihr dann all meine Dateien (voralem geht es mir um die, auf die KEINE links exitieren) anschaun/bzw downloaden?

Verfasst: 06.06.2006 11:42
von larsneo
wenn du auf der domain applikationen mit bekannten schwachstellen hast (z.b. phpbb in früheren versionen) *und* der server seitens deines providers nicht gut konfiguriert ist: ja

Verfasst: 06.06.2006 11:48
von mtsluft
Tja also geht es jedenfalls nicht so ohne weiteres.
Macht es da noch unterschiede beim betriebsystem? Also ob man Microsoft oder unix drauf hat?
der server seitens deines providers nicht gut konfiguriert ist: ja
Hat das was mit den php einstellungen zu tun? Wäre eine Seite wie phpbb.de z.b. auf diese art "ausspionierbar"?
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de