Hello,

Deshalb fragte ich ja nach einer Art Checkliste mit Handlungsanweisung.
Wenn es so etwas nicht gibt, sollte man die Gelgenheit nutzen und dieses Thema in diesem Thread ausführlich erörtern.

Diese "Würmer" suchen ja nicht Zugang über die sichtbaren Parameter in $_GET, $_POST, $_COOKIE. Die sind meistens nicht gefährdet, da sie i.d.R. im Script mit etwas festgelegtem verglichen werden.

Wie werden aber Werte festgelegt?

In welcher Reihenfolge werden Parmeter in Scriptvariablen übertragen?

Besonders gefährdet sind diejenigen Scripte, die mit NICHT INITIALISIERTEN VARIABLEN arbeiten, es also auf eine Notice ankommen lassen würden. Wenn nun diese Variable durch einen externen Paramter beschrieben wird (der eigentlich gar nicht vorgesehen war), dann schleppt man sich eben unbekannte Werte oder sogar Code ein.

Besonders gefährdet sind da die "Includer", die Scriptteile aufgrund einer externen Filename-Angabe dazuladen.

index.php?site=start

und dann im Script stehen haben:

echo $header;
   if (isset($site))
   {
     include "$site.php";
   }
   else
   {
     include $standard;
   }

echo $footer;

Nur so kurz angedeutet, was da eben gerne bei den gebastelten "CMS" gerne gemcht wird. Und wenn man dann darauf hinweist, bekommt man oft die Antwort "... wieso denn, funktioniert doch ...".

Mesitens ist fopen als Wrapper erlaubt, und man kann auf diese Weise wunderbar Code von einem externen Server dazuladen. Der kann dann leicht ein Universal-Install-Script (Upload) auf dem Server hinterlassen und schon ist das Ding vorbereitet für spätere Verwendung.

Harzliche Grüße aus http://www.annerschbarrich.de

Tom