Beitrag zur Merkliste hinzufügen
Hier kann eine Notiz zum Merk-Eintrag hinzugefügt werden (optional)
| [ Anmelden zum schreiben ] |
| Sicherheitsrisiko modif. User-Upload Mod | |||
|---|---|---|---|
| Feurio Mitglied 
Posts: 28 |
Hi ihr Lieben,
wolle mal was fragen und zwar ist mir aufgefallen nachdem ich das modifiziertes User-Upload Modul installiert habe und man einmal einen ordner Sichtbar gemacht hat die komplette ordnerstruktur von Ilch sichtbar / anschaubar ist, wenn man auf parent Directory klickt bzw: beispiel/ilch/includes/.... nimmt man jeden ordner / datei anschauen kann 
Hat da jemand eine Idee wie sich das verhindern lässt ? nächtliche Grüße Feurio betroffene Homepage: " target="_blank">sicherheitshalber nicht  |
||
| GeCk0 Administrator 
Posts: 2963  |
directory listing kann serverseitig ausgestellt werden
.:.Module, Zitate, 1-Klick-IMG-Host, MD5 und mehr.:. "Do not argue with an idiot. He will drag you down to his level and beat you with experience." |
||
| Feurio Mitglied
Posts: 28 |
gut da ich meinen webspace bei bplaced habe, werden die es wohl denke ich nicht machen
Ist halt erst der Fall seit dem "sichtbar für alle" durch das Modul. Dachte anfangs auch das es nur für die Folder Gilt aber das dadruch leider auch die komplette Struktur sichtbar wird
Aber mal danke für den Tipp
Hat sonst vielleicht jemand ne Idee? Zuletzt modifiziert von Feurio am 27.05.2010 - 08:51:30 |
||
| Mairu Coder 
Posts: 12616  |
Also eigentlich sollte das auch nur für diese Ordner gelten (und deren Unterordner), da die .htaccess ja nur in den Ordnern angelegt wird und nicht für die darüber gelten sollte.
Du kannst ein .htaccess Datei im Hauptverzeichnis anlegen mit dem Inhalt Options -Indexes Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite |
||
| Feurio Mitglied
Posts: 28 |
Hi Mairu,
danke es funktioniert. Thema kann geclosed werden. |
||
| MagistYata Mitglied
Posts: 827  |
Hätte da noch ne Frage zum mod. Upload Modul.
Ich wollte anstatt eines BBCodelinks nur den image link einbinden. $codepost = '';
if (isset($_POST['bbcode'])) {
$codepost = '<textarea cols="50" rows="3">[img]'.$server.''.$uploadordner.''.$file.'[/img]</textarea>';
}
Das ganze funktioniert auch nur, wenn ein User kein Leerzeichen in seinem Namen hat. Wenn ein User nun abc defg heißt, fehlt bei der Ausgabe des Codes das "%20", also etwa abc20%defg Wie kann ich so eine Abfrage einbauen? Streß ist Lebensdiebstahl |
||
| Mairu Coder
Posts: 12616 |
Es gibt eine Funktion urlencode die das denke ich macht, also urlencode($uploadordner) in deinem Falle statt $uploadordner würde ich behaupten.
Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite |
||
| Swamp Mitglied
Posts: 1977  |
Bei Freehoster sind die Ordner generell sichtbar... (domain.de/include...)
Wer zuletzt lacht, hat den schlechtesten Ping. |
||
| Bolli2 Mitglied
Posts: 1 |
Was mir noch bei diesem Modul aufgefallen ist, dass Sonderzeichen generell problematisch sind.
So kann man das Modul zum Absturz bringen, sobald man einfach Usernamen oder beim Upload Dateinamen mit Sonderzeichen (# - usw) am Anfang nimmt. Zuletzt modifiziert von Bolli2 am 25.06.2011 - 11:55:55 |
||
| [ Anmelden zum schreiben ] |