[OT] Was mache ich gegen unsicheren Webhoster?
Nabend zusammen,
ich habe einen PHP/MySQL-Account bei einem Hoster mit einer Domain und
sonstigen, üblichen Dreingaben.
Nun habe ich bemerkt, dass ich über PHP sämtlichen Code mit den
Benutzerberechtigungen des Webservers ausführen kann.
Sprich: ich habe lesenden (und wenn rwxrwxrwx auch schreibenden) Zugriff auf
alle öffentlichen Inhalte jeder (!) dort gehosteten Homepage (weit über 400
Stück).
Öffentlich bedeutet das, was der Webserver auch lesen kann/muss.
Demnach kann ich mir auch den Inhalt einer PHP-Datei ausgeben lassen.
Meine Software (nicht OpenSource) ist damit alles Andere als sicher.
Damit nicht genug: lese ich die Konfigurationsdatei einer willkürlichen Joomla
Installation aus (die ja nicht selten ist) kann ich mich mit diesen Daten
über das phpmyadmin in die fremde Datenbank einwählen, und hätte dann auch
schreibenden Zugriff! Ich kann so hunderte von Benutzeraccounts auslesen. Das
natürlich unbemerkt vom Betreiber des Joomlas.
Wie würdet Ihr handeln? Klar bin ich mir im Klaren dass das was ich gemacht
habe verboten ist, habe trotzdem eine Mail zum Hoster geschrieben. Bekam eine
Rückmeldung von wegen AGB usw.
Danke schonmal für Anregungen, Chris.....
Reply to: