ilch Forum » Ilch Clan 1.1 » Module und Modifikationen » Sicherheitsrisiko modif. User-Upload Mod

Geschlossen
  1. Do. 27.05.2010 00:06 Uhr #1
    User Pic
    Feurio Mitglied
    Registriert seit
    16.04.2008
    Beiträge
    28
    Beitragswertungen
    0 Beitragspunkte
    Hi ihr Lieben,

    wolle mal was fragen und zwar ist mir aufgefallen nachdem ich das modifiziertes User-Upload Modul installiert habe und man einmal einen ordner Sichtbar gemacht hat die komplette ordnerstruktur von Ilch sichtbar / anschaubar ist, wenn man auf parent Directory klickt bzw:

    beispiel/ilch/includes/.... nimmt man jeden ordner / datei anschauen kann traurig

    Hat da jemand eine Idee wie sich das verhindern lässt ?

    nächtliche Grüße

    Feurio

    betroffene Homepage: sicherheitshalber nicht zwinker
    0 Mitglieder finden den Beitrag gut.
  2. Do. 27.05.2010 00:08 Uhr #2
    User Pic
    GeCk0 Hall Of Fame
    Registriert seit
    01.05.2009
    Beiträge
    2.989
    Beitragswertungen
    96 Beitragspunkte
    directory listing kann serverseitig ausgestellt werden
    Alle Module von mir sind nun unter php-gecko.de erreichbar
    0 Mitglieder finden den Beitrag gut.
  3. Do. 27.05.2010 00:16 Uhr #3
    User Pic
    Feurio Mitglied
    Registriert seit
    16.04.2008
    Beiträge
    28
    Beitragswertungen
    0 Beitragspunkte
    gut da ich meinen webspace bei bplaced habe, werden die es wohl denke ich nicht machen zwinker

    Ist halt erst der Fall seit dem "sichtbar für alle" durch das Modul.

    Dachte anfangs auch das es nur für die Folder Gilt aber das dadruch leider auch die komplette Struktur sichtbar wird traurig

    Aber mal danke für den Tipp zwinker

    Hat sonst vielleicht jemand ne Idee?
    Zuletzt modifiziert von Feurio am 27.05.2010 - 08:51:30
    0 Mitglieder finden den Beitrag gut.
  4. Do. 27.05.2010 10:10 Uhr #4
    User Pic
    Mairu Coder
    Registriert seit
    16.06.2006
    Beiträge
    15.334
    Beitragswertungen
    386 Beitragspunkte
    Also eigentlich sollte das auch nur für diese Ordner gelten (und deren Unterordner), da die .htaccess ja nur in den Ordnern angelegt wird und nicht für die darüber gelten sollte.
    Du kannst ein .htaccess Datei im Hauptverzeichnis anlegen mit dem Inhalt 
    Options -Indexes
    Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
    0 Mitglieder finden den Beitrag gut.
  5. Do. 27.05.2010 12:33 Uhr #5
    User Pic
    Feurio Mitglied
    Registriert seit
    16.04.2008
    Beiträge
    28
    Beitragswertungen
    0 Beitragspunkte
    Hi Mairu,

    danke es funktioniert.

    Thema kann geclosed werden.
    0 Mitglieder finden den Beitrag gut.
  6. Sa. 18.12.2010 20:03 Uhr #6
    User Pic
    MagistYata Mitglied
    Registriert seit
    22.12.2007
    Beiträge
    861
    Beitragswertungen
    6 Beitragspunkte
    Hätte da noch ne Frage zum mod. Upload Modul.
    Ich wollte anstatt eines BBCodelinks nur den image link einbinden. 
    $codepost = '';
if (isset($_POST['bbcode'])) {
	$codepost = '<textarea cols="50" rows="3">[img]'.$server.''.$uploadordner.''.$file.'[/img]</textarea>';
}

    Das ganze funktioniert auch nur, wenn ein User kein Leerzeichen in seinem Namen hat.
    Wenn ein User nun abc defg heißt, fehlt bei der Ausgabe des Codes das "%20", also etwa abc20%defg
    Wie kann ich so eine Abfrage einbauen?
    Streß ist Lebensdiebstahl
    0 Mitglieder finden den Beitrag gut.
  7. Mo. 20.12.2010 13:37 Uhr #7
    User Pic
    Mairu Coder
    Registriert seit
    16.06.2006
    Beiträge
    15.334
    Beitragswertungen
    386 Beitragspunkte
    Es gibt eine Funktion urlencode die das denke ich macht, also urlencode($uploadordner) in deinem Falle statt $uploadordner würde ich behaupten.
    Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
    0 Mitglieder finden den Beitrag gut.
  8. Mi. 22.12.2010 09:27 Uhr #8
    User Pic
    Swamp Mitglied
    Registriert seit
    02.02.2006
    Beiträge
    2.094
    Beitragswertungen
    21 Beitragspunkte
    Bei Freehoster sind die Ordner generell sichtbar... (domain.de/include...)
    Wer zuletzt lacht, hat den schlechtesten Ping.
    0 Mitglieder finden den Beitrag gut.
  9. Sa. 25.06.2011 11:55 Uhr #9
    User Pic
    Bolli2 Mitglied
    Registriert seit
    25.06.2011
    Beiträge
    13
    Beitragswertungen
    0 Beitragspunkte
    Was mir noch bei diesem Modul aufgefallen ist, dass Sonderzeichen generell problematisch sind.

    So kann man das Modul zum Absturz bringen, sobald man einfach Usernamen oder beim Upload Dateinamen mit Sonderzeichen (# - usw) am Anfang nimmt.


    Zuletzt modifiziert von Bolli2 am 25.06.2011 - 11:55:55
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu Module und Modifikationen

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten