Sicherheitslücke in der Verzeichnisstruktur (CMS)

Code & Blog Logo

Ich habe eine kleine Sicherheitslücke in unserem CMS gefunden. Und zwar kann man derzeit den absolouten Pfad des CMS auslesen, was natürlich nicht so gut ist. Und zwar geht das so:

Man ruft einfach die Klassen-Dateien oder auch die Includes im Admin-Bereich direkt ab, also gibt man z.B. folgendes im Browser ein:

http://cms.stevieswebsite.de/admin/includes/page.php

und schon bekommt man durch einen Fehler der fehlenden MySQL Verbindung den absoluten Pfad.

Dies lässt sich einfach umgehen, wenn wir die folgende .htaccess-Datei in die entsprechenden Verzeichnisse legen:

deny from all

Wenn die Seite nun direkt aufgerufen wird, steht dort Zugriff verweigert o.Ä.

Folgende Verzeichnisse benötigen diese Datei:

/admin/includes

/system/classes.

Du arbeitest in einer Agentur oder als Freelancer?
Dann wirf doch mal einen Blick auf unsere Software FeatValue.

Kommentare

Renner schrieb am 14.10.2009:

Gefixed! ;)

Johannes schrieb am 20.12.2009:

Dieser Beitrag ist in der Übersicht falsch verlinkt.

Stefan Wienströer schrieb am 20.12.2009:

Hast recht, werd ich ändern - Danke!

Über uns

Wir entwickeln Webanwendungen mit viel Leidenschaft. Unser Wissen geben wir dabei gerne weiter. Mehr über a coding project