Bilder nur für eingeloggte User

[Frank]

"open basedir" auf "NONE"

Wenn ich mich nicht irre, ist das aber eine sehr große lücke, wenn du zum Beispiel eine index.php?SEITE=XXX hast und die nicht richtig per Whitelist / Blacklist geprüft ist

index.php?SEITE=../../../../../../../../../../../../../etc/passwd

könnte dann ganz schnell zum Verhängnis werden ^^

Wollt ich nur darauf hinweisen.

 

[cromafia007]

Also soll die Datei geschützt werden oder meinst du die Datei eingebunden in einer Webseite?
Sorry, habe Seite 2 halt mal ausgelassen.

Wenn das auf einer Webseite eingebunden ist, und nur gewisse darauf zugriff haben dürfen, kannst du, wenn deine Benutzer in einer Datenbank eingetragen sind, einfach eine Spalte mehr hinzufügen und true und false verwenden.

Und dann auf der Seite mit dem Bild einfach abprüfen, ob der Benutzer ein true oder ein false hat und dann ausgeben.


LG ;)

 

[Frank]

das Problem ist doch schon behoben cromafia....

 

[cromafia007]

Sorry :( *mindestlänge*

 

[Schumi]

@frank: wie soll das genau gehen mit index.php?xxxxxx

da passiert do absolut gar nix. oder meinst du evtl. ne lücke in dem ein oder anderen wcms? *grübel*

 

[Frank]

wenn du open basedir auf none setzt kann php auf jedes beliebige verzeichnis zugreifen.

mal angenommen du hast eine index mit folgendem Code (Beispiel)

<?php
include("header.html");
$page = isset($_GET["page"]) ? $_GET["page"] : "home.html";
include($page);
include("footer.html");
?>

ein normaler aufruf sähe jetzt z.b. so aus:
index.php?page=news.html

Wenn ich jetzt aber hinschreibe
index.php?page=../../../../../../../../../etc/passwd
aufrufe, hast du nen problem ;)
dann steht auf deiner seite nämlich alles über dein benutzerkonto und ich kann mich damit, mit etwas geschick, auf deinem root server einloggen.

 

[freak131]

das liegt aber nicht an open basedir sondern an dem designkonzept / unfähigkeiteit des skripters.

 

[Frank]

Ja ich gebe zu, wenn man das so nicht weiter absichert ist es schon etwas beh***ert vom Coder. Aber genau so einen Fehler gab es mal auf dem Portfolie der bekannten Frau Merkel.

 

[freak131]

ich logge teilweise sogar solche versuche, ist immer wieder nett :)

 

[Schumi]

nun ja, so arbeiten meine scripte alle nicht. habe (manchmal leider) meinen eigenen (strassenköter-)stil.

bei mir gibt es richtige physikalisch vorhandene dateien die dann jedesmal die header() aus einer includ laden. somit wäre ich raus aus diesem problem.

mal abgesehen davon, müsste der provider das ja auch unterbunden haben, sprich: ich komme bis zu meinem docroot also "webbox123"

webbox123/html/test_de/
webbox123/html/nochneseite_de/
...

oder???