Schreib/Leserecht, CHMOD 777, sicher?

Homepage selbermachen 7.852 Themen, 35.619 Beiträge

Schreib/Leserecht, CHMOD 777, sicher?

blueage am 24.06.2006, 13:16 / 5 Antworten / Baumansicht

Hi!

Hab zwar nur ne kleine private HP, aber ich arbeite mit einem Gästebuch und einem Counter, welche alles in TXT's speichern (genügt für meine Zwecke vollkommen).

Die TXT's haben aber den CHMOD 777, d.h. Schreib/Leserecht für alle.

Könnte dies jemand ausnutzen, und so einträge löschen, bzw. den Counterstand verändern/manipulieren?

Stelle mir dass recht einfach vor, indem er in einem php script (welches er auf seine hp uploaden tut) einfach sagt, er soll die datei count.txt (von meiner HP) lesen, und dann den wert XY eintragen.

Oder liege ich falsch?

Danke schonmal!

Grüsse, BlueAge

Zaphod

blueage „Schreib/Leserecht, CHMOD 777, sicher?“

24.06.2006, 14:52 Optionen

> Oder liege ich falsch?
Nein. Stelle sicher, dass ausschliesslich _dein_ Script die Dateien schreiben kann!
HTH, Z.

blueage

Zaphod „ Oder liege ich falsch? Nein. Stelle sicher, dass ausschliesslich _dein_ Script...“

25.06.2006, 17:49 Optionen

wenn ich den ordner per htcaccess schütze, arbeitet dass script dann trotzdem noch ohne probleme?

Zaphod

blueage „wenn ich den ordner per htcaccess schütze, arbeitet dass script dann trotzdem...“

25.06.2006, 18:12 Optionen

nein, tut es nicht, da es den .htaccess-Mechanismus weder kennt noch damit arbeitet. Es hilft auch nichts, da ein eindringendes Script trotzdem die vollen Rechte am Dateisystem hat - die Tür wird ja duch dein Gästebuch geöffnet. Die Dateirechte müssen auf 722 oder wenn das nicht geht auf 772 geändert werden, damit nur das Script schreiben darf. Notfalls muss das Script dem Webserver übereignet werden.
HTH, Z.

blueage

Zaphod „nein, tut es nicht, da es den .htaccess-Mechanismus weder kennt noch damit...“

26.06.2006, 09:50 Optionen

also steht Hackern Tür und Tor offen, wenn man ein textbasiertes Gästebuch benutzt?
Oder ähnliche Textbasierte Scripts (counter,forum,....)

Zaphod

blueage „also steht Hackern Tür und Tor offen, wenn man ein textbasiertes Gästebuch...“

26.06.2006, 11:10 Optionen

... nur, wenn diese a) Variablen nicht überprüfen und b) Schreibrechte für alle brauchen.
Um dir konkret helfen zu können, müsste man wissen, welches Gästebuchscript nit welcher Serversoftware eingesetzt wird und welche Möglichkeiten und Rechte Du dort hast.
HTH, Z.