Hello,
Und was soll ich jetzt tun? Ich weiß nicht wo sonst noch eine Lücke sein kann.
Handelt es sich denn um eigene Sxripte oder hast Du ein CMS/Framework im Einsatz?
Um deine eigenen Scripte zu untersuchen, kannst Du alle Upload-Scripte testen auf die bereits beschriebenen Lücken. Die von Martin nochmals deutlich offengelegte Lücke https://forum.selfhtml.org/?t=196360&m=1316377 ist wohl eine der gefährlichsten.
Ich habe nochmals damit herumgespielt und musste mit Erschrecken feststellen, dass sie meistens funktioniert, auch wenn in etwas abgewandelter Form...
Für Upload-Ablageverzeichnisse sollte also gelten:
1. das Parsen unterbinden
2. Nur Files mit Endungen aus einer WHITELIST zulassen
Nur Endungen einer Blacklist zu verbieten, ist gefährlich!
Es werden meistens auch Files mit anderen Endungen als '.php' zum Parser geschickt.
3. Mimetype auf dem Server überprüfen
4. Bei Bildern getimagesize() verwenden, ob überhaupt noch ein Bild vorliegt
(das alleine reicht aber nicht, wie Martin gezeigt hat)
Und dann möglichst den nicht verschlüsselten FTP-Zugang schließen und nur noch sftp oder ähnlich übertragen. Wir hatten hier erst im letzten Jahr auf einem Server ständig gehackte FTP-Zugänge. Das geht per Wörterbuch i.d.R. relativ leicht. Ich habe damals die Frage aufgeworfen, wie man sowas (Fehlversuche beim FTP-Login, Eindringlinge) vernünftig loggen und überwachen könnte. Die Frage ist leider immer noch offen. Auf jeden Fall sollte dafür ein separater Logserver benutzt werden.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg