Rolf B: Ein paar Einträge in die apache access.log bereiten mir Kopfzerbrechen

Beitrag lesen

Hallo claus,

Libraries - also Code, der nicht eigenständig läuft, sondern von Dir inkludiert wird, sollte in einem Ordner liegen, der vom Web aus nicht erreichbar ist.

Also optimalerweise außerhalb des document root, oder wenn das nicht geht, in einem Order, der diese .htaccess Datei enthält:

Deny from  all

Sagt mir Stackoverflow jedenfalls - ich bin ja bekanntlich kein Apachologe.

Das Gleiche gilt für Konfigurationsdateien. Entweder aus dem document root verbannen, in einen Deny From All Ordner sperren, oder so benennen, dass man sie in der .htaccess gegen Zugriffe aus dem Web sperren kann. Dann können sie nur noch von deinen PHP Scripten gelesen werden.

Die Kopfologie hat mich allerdings leicht in Panik versetzt. Sowas kann gehen?! Gut, dass ich bei IIS bin (der hat andere Macken 😂).

HEAD /icons/sphere1.png HTTP/1.1" 200 5008
HEAD /icons/.%2e/%2e%2e/apache2/icons/sphere1.png HTTP/1.1" 400 4801

sind augenscheinlich verschiedene Pfade. %2e ist der Punkt, d.h. der zweite Head-Request möchte auf /icons/../../apache2/icons/sphere1.php zugreifen. Also: runter den icons-Ordner, von da aus zwei Ordnerstufen rauf und von da aus runter nach apache2 und weiter nach icons/sphere1.png darin gibt.

"Zwei hoch" - kann ja bei /icons gar nicht gehen? Tjaaa - ein Default-Apache aliased Dir in dein Documentroot einen /icons-Ordner hinein, dessen physikalischer Ort im Installationsordner des Apache liegt. Das kannst Du nur in der zentralen Apache Konfiguration abschalten, hab ich gerade gelesen, das kann man in der eigenen .htaccess nicht wegmachen. Das mag falsch oder veraltet sein, das wäre eine Frage an die Indianerhäuptlinge hier.

Wenn es also dumm und fehlerhaft läuft, greifst Du mit /icons/../.. auf das Elternverzeichnis des Icons-Ordners zu, also auf die Apache-Installation, und wenn Du dann mit apache2/icons/sphere1.png Erfolg hast, weißt Du, dass der Indianer ein Loch in der Unterhose hat.

Hätte er das Loch gefunden, hätte er darüber die Apache Konfiguration durchstöbern und ggf. Passworte abgreifen können.

Rolf

--
sumpsi - posui - obstruxi