10 Jahre
Gespräch vereinbaren
Werbung
FeatValue
Das Kundenportal für Agenturen und Freelancer
Integriert sich in das bestehende Projektmagement-System
Kostenlos registrieren

Sicherheitslücke in der Verzeichnisstruktur (CMS)

Code & Blog Logo

Code & Blog Logo

Ich habe eine kleine Sicherheitslücke in unserem CMS gefunden. Und zwar kann man derzeit den absolouten Pfad des CMS auslesen, was natürlich nicht so gut ist. Und zwar geht das so:

Man ruft einfach die Klassen-Dateien oder auch die Includes im Admin-Bereich direkt ab, also gibt man z.B. folgendes im Browser ein:

http://cms.stevieswebsite.de/admin/includes/page.php

und schon bekommt man durch einen Fehler der fehlenden MySQL Verbindung den absoluten Pfad.

Dies lässt sich einfach umgehen, wenn wir die folgende .htaccess-Datei in die entsprechenden Verzeichnisse legen:

deny from all

Wenn die Seite nun direkt aufgerufen wird, steht dort Zugriff verweigert o.Ä.

Folgende Verzeichnisse benötigen diese Datei:

/admin/includes

/system/classes.

Du arbeitest in einer Agentur oder als Freelancer?
Dann wirf doch mal einen Blick auf unsere Software FeatValue.

Kommentare

Renner schrieb am 14.10.2009:

Gefixed! ;)

Johannes schrieb am 20.12.2009:

Dieser Beitrag ist in der Übersicht falsch verlinkt.

Stefan Wienströer schrieb am 20.12.2009:

Hast recht, werd ich ändern - Danke!

Über uns

Stefan Wienströer

Wir entwickeln Webanwendungen mit viel Leidenschaft. Unser Wissen geben wir dabei gerne weiter. Mehr über a coding project

Cookie-Einstellungen

Helfen Sie dabei, uns noch besser zu machen. Wir nutzen Cookies und ähnliche Technologien, um die Website auf Ihre Bedürfnisse anzupassen. Zur Datenschutzerklärung

Auswahl speichern