Seite erstellen

  • Hey!


    Lassen sich irgendwie mit HTML oder PHP neue Seiten erstellen?


    Sprich:

    Du gibst Deinen Namen ein und es wird die Seite deinname.php im Verzeichnis mit einem Inhalt erstellt (Wie bspw. ein Ticketsystem). Ich finde dazu leidef nirgendwo etwas.


    Vielen Dank schonmal,

    Jakob

  • deswegen habe ich auch kein Code gepostet weil mir schon klar wahr das sowas kommt .

    Aber kannst du mir das auch bitte erklären ? Ich habe zumindest am htmlspecialchars und so gedacht das zumindest da kein Code rein gefummelt werden kann.

    Oder gibt es da noch mehr Lücken die gefährlich sein können/sind ?

  • Ich kann Dein PHP-Script nicht sehen, aber htmlspecialchars ist maximal für die Ausgabe sinnvoll. Prüfungen, bevor Du das Verzeichnis anlegst sind hier deutlich relevanter! Hast Du drauf geachtet, dass man in der Eingabe nicht aus dem Kontext ausbrechen und bspw. rm -f * ausführen kann?


    Jakob5603 : Wie schon gesagt, so machen Ticketsysteme und auch andere, die sinnvoll entwickelt sind das nicht.

    Es gibt genau ein Template für bspw. den Kundenbereich und anhand des eingeloggten Kunden werden die Inhalte ausgegeben.

  • ok.Damit hätte ich jetzt nicht gerechnet.

    Was hast du den in den Feld reingeschrieben ? Nur.../index

    Ich dachte das er den Code zusammen baut und gut ist.

    Wenn man ../index.php angibt geht er ja ein Ordner zurück. Da ich aber im Script den Link vor setze müßte das doch so aussehen

    ".bplaced.net/test/ .. index.php"

    oder nicht ? Verstehe nur nicht warum der aus den Ordner rausgeht weil das Textfeld mit htmlspecialchars direkt in file put contens steht,


    Nagut wie auch immer. Da ich in den Script nicht geprüft habe ob es den Datei namen gibt hättest du ja auch die index.php damit überschrieben.

    Was für möglichkeiten gibt es da um solche attaken abzuwären ?


    Du das Verzeichnis anlegst sind hier deutlich relevanter! Hast Du drauf geachtet, dass man in der Eingabe nicht aus dem Kontext ausbrechen und bspw. rm -f * ausführen kann?

    Das habe ich wohl nicht gemacht, Ich bin am überlegen was dein Code bezwecken soll wenn man aus den Kontext rauskommt ?

    Was kann der tun bzw was macht der den ganz einsam auf einer Seite wo nur html Code steht und im Link ??

    Wie kann man das dann verhindern? escapen bringt da auch nix ??

  • Ausgeführt über Funktionen, wie passthru(), exec(), shell_exec() u.a. werden alle Dateien aus dem aktuellen Verzeichnis entfernt und zwar ohne Nachfrage ;) Natürlich ist die Frage, ob die Berechtigungen vorhanden sind, aber dennoch sollte man sowas beachten.