O'Reilly logo

PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren by Stefan Esser, Christopher Kunz

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

372.8 Kommentare aus HTML-Dateien
Diese Verzeichnisse und vor allem der Username können für einen
Angreifer von Bedeutung sein, wenn er weitere »öffentliche« Dateien
sucht oder einen Authentifizierungsmechanismus angreifen möchte.
Sie können verhindern, dass das CVS-Verzeichnis vom CVS-Server
angelegt wird, indem Sie das fertige Webprojekt nicht per Checkout,
sondern als exportiertes Projekt auf den produktiven Server kopieren
lassen. Das geht mit dem Befehl
cvs export <projektname>.
2.7.4 Pfade verkürzen
Wurden nun, aus welchen Quellen auch immer, genügend Pfade
gesammelt, können diese der Reihe nach in die Adressleiste des Brow-
sers eingegeben werden. Erscheint eine Ansicht der Dateien, kann man
diese Dateien untersuchen und daraus weitere Informationen entneh-
men.
Längere Pfade werden durch Verkürzen um jeweils eine Ebene bis
zum Hauptverzeichnis evaluiert, und weitere gefundene Pfade werden
dann in die Liste der zu durchsuchenden Pfade aufgenommen.
www.php-sicherheit.de/include/classes/mail/
www.php-sicherheit.de/include/classes/
www.php-sicherheit.de/include/
Bei manchen, schlecht konfigurierten Servern ist es so möglich, auf
Bereiche zuzugreifen, die normalerweise – geht der Anwender den vom
Betreiber beabsichtigten Weg über die Website selber – durch ein
Authentifizierungsformular geschützt sind. Inhalte, die auf dem Web-
server z.B. in Form von durch das Haupt-PHP-Skript zu inkludieren-
den Textdateien hinterlegt sind, können so eventuell aufgerufen und
die Authentifizierung und Autorisierung umgangen werden.
Diese Art von Informationsgewinnung wird aber in der Log-Datei
des Webservers mitprotokolliert und kann eventuell zurückverfolgt
werden. Auch »Intrusion-Detection-Systeme« erkennen diese Angriffe
und alarmieren dementsprechend den zuständigen Administrator.
2.8 Kommentare aus HTML-Dateien
In den HTML-Quelltexten können sich nicht nur Pfade auf bestimmte
Dateien befinden, sondern auch Kommentare. Diese Kommentare
können Aufschluss über installierte Applikationen geben oder auch
%B?:5;D51EC59>5=+('5@?C9D?BICD5DC5H@?BD95B5>>938D1<C853;?ED1E6
45>%B?4E;D9?>CC5BF5B;?@95B5>

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required