Druckansicht von http://www.php-homepage.de/forum/read.php?2,56015
Druckansicht von http://www.php-homepage.de/forum/read.php?2,56015
Sicherheitsprobleme mit Dateiupload in PHP-Seiten?geschrieben von Robbatse
Hallöchen,
Ich habe diesen Thread schon woanders gepostet aber noch keine nützliche Antwort bekommen. Vielleicht weiß ja hier einer was! hatte grad ne nette diskussion mit dem chef unsrer netzwerkfirma, die unsren webserver wartet. wir lassen da drauf ne php seite laufen, die u.a. registrierten nutzern dateiuploads ermöglichen soll (JPG-bilder, ausschliesslich). nachdem ich erstaunter weise feststellte, dass ich keine upload-scripte ausführen bzw. bestimmte verzeichnisse auslesen kann, stellte ich ihn zur rede. "es fehlen die rechte" bekam ich zu hören. "wenn wir PHP den schreib-zugriff auf ein verzeichnis gestatten(mal ausgenommen die session- und tmp-verzeichnisse), dann öffnen wir uns ein loch für jeden hacker da draußen. es ist dann möglich beispielsweise geziehlt 'falsche' bilder hochzuladen und so das system zu unterwandern." man könnte als JPG-getarnte php-scripte hochladen und ausführen aber hat der apache dazu nicht geziehlt diese registrierung von .php und .php3 dateien? "schon, aber man kann z.B. geziehlt falschinformationen verbreiten, die eure firma in den ruin treiben könnte, beispielsweise kinderpornos" (alter, laber nur, da hätt ich diese php-seite ja gar nicht erst programmieren brauchen lol......denn auf der seite werden neben bildern infos über öffnungszeiten von firmen, telefonnummern, ect. verbreitet, die die jeweiligen kunden nach belieben ändern können...ausserdem kann man doch eine klausel auf die hauptseite setzen, die uns von den inhalten distanziert, ich meine, ebay und co haben sicher auch damit zu kämpfen, doch aber sicher nicht mit andauernden klagen) ... gibts hier jemanden, der mir wirklich sicher sagen kann, was für risiken bei solchen datei-uploads entstehen können und wie man sie umgeht? zur info: unser webserver ist in einem novell-netzwerk eingebunden, darauf läuft ein novell-system mit apache und mysql. wenns nach mir ginge, würd ich alles komplett auf linux laufen lassen, aber die leute von unre' netzwerkfirma wolln ja nich ...hmpf  naja, muss wohl daran liegen, dass die überall novell-poster kleben haben... robbatse
Hallo,
Es kommt immer darauf an _wie_ der Webserver und PHP konfiguriert sind. Wenn der safe_mode aktiv ist, die open_basedir Restriktionen gesetzt sind und PHP-Skripte z.B. Funktionen wie exec() oder system() nicht nutzen dürfen, kann man den Server IMHO schon recht sicher machen. Bei dem Beispiel mit dem PHP-Skript als JPG getarnt, seh ich auch kein Problem, denn du kannst nach dem Upload prüfen, ob es sich wirklich um ein Bild handelt und das dann auf dem Webserver belassen oder eben gleich löschen. Ist natürlich nur eine erste grobe Einschätzung meinerseits und sollte nicht als verbindlich gelten  Gruß, Stephan -- The last good thing written in C was Franz Schubert's Symphony No. 9
genau,
hab mich mal mit nem spezialisten für unix-systeme unterhalten. "novell ist babykram" sagt der anscheinent scheint unser novell-profi noch nicht so vertraut mit der apache- und php-konfiguration zu sein (denn da muss man ja SCRIPTE SCHREIBEN *panik*) wenn der apache so konfiguriert ist, dass nur .php und .php3 files ausgeführt werden, gibts da kein problem. sicher, ein system kann nie zu 100% sicher sein, aber so ein großes loch besteht da sicher nicht.
In diesem Forum dürfen leider nur registrierte Teilnehmer schreiben.
|
