mesi: Sicherheit FTP-Client per php: MyWebFTP

Hallo

Ich habe für eine kleinere Gruppe einen FTP-Client heruntergeladen.
Das Tool heisst MyWebFTP 0.3 Rc3 und ist hier: http://mywebftp.sourceforge.net/
Dann MyWebFTP auf unserer Vereinswebpage aufgeschaltet und es funktioniert sehr gut. Es ist eigentlich genau das, was ich lange gesucht habe.
Nun habe ich erst später gemerkt, dass MyWebFTP ohne FTP-Username und PWD auf den FTP-Server zugreifen kann. Wie MyWebFTP das macht weiss ich nicht, da ich bei php noch nicht wirklich durchblicke.
Mann muss zwar beim config.php File den Login und PWD bestimmen, dies kann aber irgendwas sein und muss nicht mit dem FTP-Login übereinstimmen.

Wenn mir das jemand erklären könnte, wäre ich sehr dankbar, da ich das Gefühl habe, das Tool ist nicht sicher!

Gruss
Mesi

  1. Nun habe ich erst später gemerkt, dass MyWebFTP ohne FTP-Username und PWD auf den FTP-Server zugreifen kann. Wie MyWebFTP das macht weiss ich nicht, da ich bei php noch nicht wirklich durchblicke.
    Mann muss zwar beim config.php File den Login und PWD bestimmen, dies kann aber irgendwas sein und muss nicht mit dem FTP-Login übereinstimmen.

    Wenn mir das jemand erklären könnte, wäre ich sehr dankbar, da ich das Gefühl habe, das Tool ist nicht sicher!

    Ersetzt den FTP Client / ist kein FTP Client
    "The greatest thing about it : can work anywhere you have a simple internet access, behing any proxy or firewall as it uses only the HTTP protocol. ( That's why I've made this tool, at work I can't go out to internet unless on port 80/HTTP)"

    mfg Beat

    --
    Woran ich arbeite:
    X-Torah
    ><o(((°>        ><o(((°>
       <°)))o><                      ><o(((°>o
    1. ok,
      was mir jedoch unklar ist, wie der zugang zum ftp-server und dessen datei-verwaltung (upload, delete, download, neuer ordner) OHNE login bewerkstelligt wird.
      gruss mesi

      Ersetzt den FTP Client / ist kein FTP Client
      "The greatest thing about it : can work anywhere you have a simple internet access, behing any proxy or firewall as it uses only the HTTP protocol. ( That's why I've made this tool, at work I can't go out to internet unless on port 80/HTTP)"

      mfg Beat

      1. Hallo,

        was mir jedoch unklar ist, wie der zugang zum ftp-server und dessen datei-verwaltung (upload, delete, download, neuer ordner) OHNE login bewerkstelligt wird.

        du hast es noch immer nicht verstanden:

        Ersetzt den FTP Client / ist kein FTP Client

        Das System ERSETZT den FTP-Client, ist aber selbst keiner. Es braucht daher auch nicht mit dem FTP-Server Verbindung aufzunehmen, sondern greift direkt auf das Dateisystem des Hosts zu.
        Und deshalb: Ja, solange jeder Hinz und Kunz auf dieses Script zugreifen kann, kann auch jeder Hinz und Kunz deine Dateien auf dem Server lesen, löschen, verändern, ersetzen, und neue hinzufügen.

        DAS *IST* EIN KRITISCHES SICHERHEITSRISIKO!

        So long,
         Martin

        --
        Wer im Steinhaus sitzt, soll nicht mit Gläsern werfen.
  2. Hello,

    mich würde schon die Zeile

    $tempdest = "temp/".$_FILES['fichier']['name']; // upload to mywebftp/temp.

    erheblich beunruhigen. Lass Die mal den realpath() für unterschiedliche Werte von ['name'] anzeigen, und Du weißt, was ich meine. ['name'] kommt von außen, also aus dem Einzugsbereich des Users. Es ist frei belegbar durch jemanden mit dem passenden Werkzeug, also auch mit "../../../../../../../etc/passwd", was zwar hoffentlich noch nicht wirklich zum Erfolg führen sollte, aber doch den Weg aufzeigen kann.

    Jeder User, der dieses Script benutzen darf, kann vermutlich alle von PHP beschreibaren Verzeichnisse und Dateien erreichen, auch außerhalb der Document Root, wenn dies nicht durch andere Mittel verhindert wird.

    Liebe Grüße aus Syburg bei Dortmund

    Tom vom Berg

    --
    Nur selber lernen macht schlau
    http://bergpost.annerschbarrich.de