Alain: cgi...sicherheits check...

Guten Tag, Ich hab mal irgendwo gelesen,dass man eine unsichere datei.cgi  z.B. so datei.CGI oder so datei.cgi?datei.cgi aufrufen könnte um dessen quelltext anzeigen zu lassen. Meine Frage dazu,stimmt das und gibts auch andere Möglichkeiten ein cgi so ausführen zu lassen per http request dass das cgi eigentlich gar nicht ausgeführt wird und statt dessen den vollen code im txt format eventuell anzeigt?

Grüsse vom Alain-- ...nobody is perfect I am nobody

  1. Halihallo Alain

    Ich hab mal irgendwo gelesen,dass man eine unsichere datei.cgi  z.B. so datei.CGI oder so
    datei.cgi?datei.cgi
    aufrufen könnte um dessen quelltext anzeigen zu lassen.

    Wo hast du den Müll gelesen? - Das mag auf eine kleine Sammlung an schlecht
    programmierten Scripten zutreffen.

    Meine Frage dazu,stimmt das und gibts auch andere Möglichkeiten ein cgi so ausführen zu lassen
    per http request dass das cgi eigentlich gar nicht ausgeführt wird und statt dessen den
    vollen code im txt format eventuell anzeigt?

    Nur, wenn du ein viewer-Script bastelst, wo du die zu viewende Datei nicht überprüfst
    (ob diese überhaupt angezeigt werden darf), oder bei schlecht konfigurierten Webservern.

    Viele Grüsse

    Philipp

    1. Moin,

      Wo hast du den Müll gelesen? - Das mag auf eine kleine Sammlung an schlecht programmierten Scripten zutreffen.

      ich glaube es war irgendwo auf wolf's seite  http://www.xwolf.de/artikel/cgisec3.shtml sicher bin ich mir allerdings nicht mehr. Grüsse vom Alain

      --
      ...nobody is perfect I am nobody
  2. Hi Alain,

    Ich hab mal irgendwo gelesen,dass man eine unsichere datei.cgi
    z.B. so datei.CGI

    das ist ein anderer URL. Was in diesem Falle passiert, hängt von der Konfiguration des Webservers ab - nicht vom Skript selbst.

    oder so
    datei.cgi?datei.cgi

    Damit übergibst Du dem Skript eine Zeichenkette (ohne Parametername). Was in diesem Falle passiert, hängt von der Funktionsweise des Skripts ab.

    aufrufen könnte um dessen quelltext anzeigen zu lassen.

    Das hängt davon ab, welche Funktion das Skript hat und wie es diese Funktion realisiert.

    Meine Frage dazu,stimmt das

    Siehe oben. Sicherlich gibt es einzelne Skripte, für die das zutrifft.

    Beispielsweise könnte das Skript genau die Funktion haben, den Inhalt einer Datei auszugeben - wenn man dieses Skript dann auf sich selbst anwendet, dann kann man ggf. dessen Quelltext lesen (falls dies nicht gezielt innerhalb des Skripts verhindert wurde - das Skript kann ja vergleichen, ob der übergebene Parameterwert mit dem Namen des Skripts übereinstimmt).

    und gibts auch andere Möglichkeiten ein cgi so ausführen zu lassen

    Über welches Kommunikationsprotokoll? Solange er auf HTTP beschränkt ist, kann ein Angreifer ggf. weniger tun, als wenn er das Skript beispielsweise mit FTP oder telnet ansprechen kann.

    dass das cgi eigentlich gar nicht ausgeführt wird

    Was verstehst Du unter "eigentlich"? Das Skript wird entweder ausgeführt oder nicht.

    und statt dessen den vollen code im txt format eventuell anzeigt?

    Was der Webserver tut, wenn ein URL angesprochen wird, das hängt von der Konfiguration des Webservers ab - nicht vom Skript.
    Was natürlich nicht bedeutet, daß man die nicht auch verkehrt machen kann ...

    Und es ist sehr wohl möglich, dieselbe Skriptdatei über zwei unterschiedliche URLs anzusprechen, so daß es einen Fall das Skript ausgeführt wird und im anderen sein Inhalt angezeigt wird - wenn dies im Webserver so konfiguriert wurde.

    Viele Grüße
          Michael

    --
    T'Pol: I apologize if I acted inappropriately.
    V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.