Halihallo Alain

Ich hab mal irgendwo gelesen,dass man eine unsichere datei.cgi  z.B. so datei.CGI oder so
datei.cgi?datei.cgi
aufrufen könnte um dessen quelltext anzeigen zu lassen.

Wo hast du den Müll gelesen? - Das mag auf eine kleine Sammlung an schlecht
programmierten Scripten zutreffen.

Meine Frage dazu,stimmt das und gibts auch andere Möglichkeiten ein cgi so ausführen zu lassen
per http request dass das cgi eigentlich gar nicht ausgeführt wird und statt dessen den
vollen code im txt format eventuell anzeigt?

Nur, wenn du ein viewer-Script bastelst, wo du die zu viewende Datei nicht überprüfst
(ob diese überhaupt angezeigt werden darf), oder bei schlecht konfigurierten Webservern.

Viele Grüsse

Philipp

Hi Alain,

Ich hab mal irgendwo gelesen,dass man eine unsichere datei.cgi
z.B. so datei.CGI

das ist ein anderer URL. Was in diesem Falle passiert, hängt von der Konfiguration des Webservers ab - nicht vom Skript selbst.

oder so
datei.cgi?datei.cgi

Damit übergibst Du dem Skript eine Zeichenkette (ohne Parametername). Was in diesem Falle passiert, hängt von der Funktionsweise des Skripts ab.

aufrufen könnte um dessen quelltext anzeigen zu lassen.

Das hängt davon ab, welche Funktion das Skript hat und wie es diese Funktion realisiert.

Meine Frage dazu,stimmt das

Siehe oben. Sicherlich gibt es einzelne Skripte, für die das zutrifft.

Beispielsweise könnte das Skript genau die Funktion haben, den Inhalt einer Datei auszugeben - wenn man dieses Skript dann auf sich selbst anwendet, dann kann man ggf. dessen Quelltext lesen (falls dies nicht gezielt innerhalb des Skripts verhindert wurde - das Skript kann ja vergleichen, ob der übergebene Parameterwert mit dem Namen des Skripts übereinstimmt).

und gibts auch andere Möglichkeiten ein cgi so ausführen zu lassen

Über welches Kommunikationsprotokoll? Solange er auf HTTP beschränkt ist, kann ein Angreifer ggf. weniger tun, als wenn er das Skript beispielsweise mit FTP oder telnet ansprechen kann.

dass das cgi eigentlich gar nicht ausgeführt wird

Was verstehst Du unter "eigentlich"? Das Skript wird entweder ausgeführt oder nicht.

und statt dessen den vollen code im txt format eventuell anzeigt?

Was der Webserver tut, wenn ein URL angesprochen wird, das hängt von der Konfiguration des Webservers ab - nicht vom Skript.
Was natürlich nicht bedeutet, daß man die nicht auch verkehrt machen kann ...

Und es ist sehr wohl möglich, dieselbe Skriptdatei über zwei unterschiedliche URLs anzusprechen, so daß es einen Fall das Skript ausgeführt wird und im anderen sein Inhalt angezeigt wird - wenn dies im Webserver so konfiguriert wurde.

Viele Grüße
      Michael