Hallo Mitleser,
wie Jörg schrub: Es kann genau das, was Du kannst, aber wenn es nicht von Dir ist, dann tut es vielleicht was, was Du gar nicht wolltest.
Meine Frage ist aber: Wieso sollte so eins Script an einen Ort kommen, wo ein Admin es unbeabsichtigt ausführt? Wenn die erste Verteidigungslinie ordentlich ist, dann kann es doch nur im Upload-Ordner des Web-Projekts landen. Und da sollten einem Admin doch automagisch alle Alarmglocken gebimmelt haben.
Dass PHP eine Upload-Datei von sich aus nicht executable macht, sollten wir doch mittlerweile geklärt haben, und wenn ich einen Nonsense gebaut habe und mir irgendwer tatsächlich ein Script an eine Stelle hochladen kann, wo ich es mit etwas anderem wervexele und irrigtümlicherweise starte, dann starte ich es entweder direkt und kriege ein "des derfst Du net!" auf's Maul, oder ich starte penetranterweise bash und übergebe es als Parameter, was das X-Bit ignoriert, und dann hilft die ganze X-Bit Diskussion nichts.
Also mein Fazit ist: das X-Bit nützt nix. Die UMASK nützt nix. Die existenten Verteidigungslinien sind:
- PHP setzt von sich aus eh kein X-Bit. Toms Forderung, dass der Upload in einem Ordner landen muss, wo kein Executable-Recht gesetzt ist, ist damit implizit gegeben.
- Ein sauber programmiertes Script sorgt dafür, dass der Upload nicht irgendwo™️ landet
Weitere Maßnahmen können sein:
- Man benennt Uploads mit wilden Zufallsnamen und hat eine zweite Informationsstelle, in der steht, welcher Zufallsname welchem Upload-File entspricht.
- Man speichert Upload-Files nicht im Filesystem, sondern in einer DB. Oder man "verschlüsselt" sie - da reicht schon eine XOR-Maske. Hauptsache, sie sind nicht unmittelbar von Shell oder Desktop aus nutzbar.
Dass ein Angreifer es durch eine Hintertür schafft, ein solches File zu descramblen und zu starten, scheint mir unwahrscheinlich. Bzw. wenn er das schafft, braucht er das File nicht und kann ohnehin bereits ganz anderen Schabernack anrichten.
Rolf
sumpsi - posui - obstruxi