safe mode

Die Scriptsprache PHP fĂĽr die Gestaltung von dynamischen Websites.

safe mode

Beitragvon max_payne » Di 04 Apr, 2006 20:30

hallo!
ich hab mir gerade ein kleines explorer-script in php geschrieben!
doch plötztlich ist es mir so auch möglich auf die gesamten daten des pcs zuzugreifen :oops:

safe mode ist aktiviert, ändern tut sich nichts...
was mach ich falsch?
aon (8/0,7) + HUI Flat 20 | http://www.mku.name (<-- Burstcoin Tutorial)
max_payne
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4978
Registriert: Mo 30 Aug, 2004 12:25

Beitragvon superracer » Di 04 Apr, 2006 20:55

was genau heiĂźt du kannst "zugreifen" drauf?
superracer
Board-User Level 3
Board-User Level 3
 
Beiträge: 1073
Registriert: So 04 Jul, 2004 11:18

Beitragvon max_payne » Di 04 Apr, 2006 20:57

ich kann per php auf jede beliebige datei lesend&schreibend zugreifen(auch außerhalb des verzeichnises; dh. persönliche daten)
aon (8/0,7) + HUI Flat 20 | http://www.mku.name (<-- Burstcoin Tutorial)
max_payne
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4978
Registriert: Mo 30 Aug, 2004 12:25

Beitragvon penguinforce » Di 04 Apr, 2006 20:57

hint: suche mal nach open_base_dir... ;)
penguinforce
 

Beitragvon superracer » Di 04 Apr, 2006 20:58

jo, und check auch noch mal die doku fürn safe mode, der macht nämlich nur uid-basierende checks...
superracer
Board-User Level 3
Board-User Level 3
 
Beiträge: 1073
Registriert: So 04 Jul, 2004 11:18

Beitragvon max_payne » Di 04 Apr, 2006 21:05

jo, und check auch noch mal die doku fürn safe mode, der macht nämlich nur uid-basierende checks...


d.h. was wĂĽrdet ihr mir empfehlen?
aon (8/0,7) + HUI Flat 20 | http://www.mku.name (<-- Burstcoin Tutorial)
max_payne
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4978
Registriert: Mo 30 Aug, 2004 12:25

Beitragvon superracer » Di 04 Apr, 2006 21:34

nicht auf die "security" von php oder dem restlichen system vertrauen, sondern deine eigenen security checks machen (das aber "richtig"). und _zusätzlich_ safe mode und open basedir aktivieren.
superracer
Board-User Level 3
Board-User Level 3
 
Beiträge: 1073
Registriert: So 04 Jul, 2004 11:18

Beitragvon max_payne » Di 04 Apr, 2006 21:46

also safe mode ist jetzt wirklich aktiviert, aber das auslesen funktioniert noch immer :'(
aon (8/0,7) + HUI Flat 20 | http://www.mku.name (<-- Burstcoin Tutorial)
max_payne
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4978
Registriert: Mo 30 Aug, 2004 12:25

Beitragvon superracer » Di 04 Apr, 2006 21:53

unter welchem system/OS? mit welchen funktionen? wie sehen die owner und permissions des php files selbst und der ausgelesenen datei aus? was sagt ein phpinfo() zum safemode?
superracer
Board-User Level 3
Board-User Level 3
 
Beiträge: 1073
Registriert: So 04 Jul, 2004 11:18

Beitragvon max_payne » Mi 05 Apr, 2006 05:54

verwendetes system: winxp
server: xampp
lt. phpinfo() ist der safe_mode auf on
permissions wüsst ich nicht, wie man sie auslesen könnte
aon (8/0,7) + HUI Flat 20 | http://www.mku.name (<-- Burstcoin Tutorial)
max_payne
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4978
Registriert: Mo 30 Aug, 2004 12:25

Beitragvon superracer » Mi 05 Apr, 2006 09:21

naja, ohne es jetz genau zu wissen, sag ich mal einfach so, daß unter windoof uid-basierende checks wohl nicht so gaaaanz funktionieren (wenn du auf fat32 fährst, dann gleich sowieso gar nicht) und der safemode auf der plattform somit fürn A is.
superracer
Board-User Level 3
Board-User Level 3
 
Beiträge: 1073
Registriert: So 04 Jul, 2004 11:18

Beitragvon medice » Mi 05 Apr, 2006 10:14

mit etwas GlĂĽck rennen httpd und somit auch php mit Systemrechten - je nachdem wie guts der Installer mit einem meint...
Mfg
Medice

Wir in Bayern brauchen keine Opposition, weil wir sind schon Demokraten. (c) Gerhard Polt
medice
Advanced Power-User
Advanced Power-User
 
Beiträge: 3282
Registriert: Fr 13 Mai, 2005 10:32
Wohnort: Graz

Beitragvon max_payne » Mi 05 Apr, 2006 14:24

und das heiĂźt jetzt?
aon (8/0,7) + HUI Flat 20 | http://www.mku.name (<-- Burstcoin Tutorial)
max_payne
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4978
Registriert: Mo 30 Aug, 2004 12:25

Beitragvon medice » Mi 05 Apr, 2006 15:46

dass httpd und somit php aufgrund der Systemrechte sowieso ĂĽber alles drĂĽberbrettern kann.
(und das is kein Scherz - hab auf nem XP tatsächlich einmal xampp mit systemrechten gesehen...)
System ist - wenn ich das Rechte Management richtig verstanden habe - noch nen Deut mehr als Administrator (was allein ja schon Bände über das Windows-Konzept spricht)
Mfg
Medice

Wir in Bayern brauchen keine Opposition, weil wir sind schon Demokraten. (c) Gerhard Polt
medice
Advanced Power-User
Advanced Power-User
 
Beiträge: 3282
Registriert: Fr 13 Mai, 2005 10:32
Wohnort: Graz

Beitragvon max_payne » Mi 05 Apr, 2006 19:55

ok.
gibts jetzt noch nen lösungsvorschlag, oder soll ich mich nach was anderem umsehen?
aon (8/0,7) + HUI Flat 20 | http://www.mku.name (<-- Burstcoin Tutorial)
max_payne
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4978
Registriert: Mo 30 Aug, 2004 12:25

Nächste

ZurĂĽck zu PHP

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 5 Gäste