Am Dienstag, 26. August 2008 20:23:24 schrieb Christian Knorr: > Nabend zusammen, > ich habe einen PHP/MySQL-Account bei einem Hoster mit einer Domain und > sonstigen, üblichen Dreingaben. > Nun habe ich bemerkt, dass ich über PHP sämtlichen Code mit den > Benutzerberechtigungen des Webservers ausführen kann. > Sprich: ich habe lesenden (und wenn rwxrwxrwx auch schreibenden) Zugriff > auf alle öffentlichen Inhalte jeder (!) dort gehosteten Homepage (weit über > 400 Stück). > Öffentlich bedeutet das, was der Webserver auch lesen kann/muss. > Demnach kann ich mir auch den Inhalt einer PHP-Datei ausgeben lassen. > Meine Software (nicht OpenSource) ist damit alles Andere als sicher. > > Damit nicht genug: lese ich die Konfigurationsdatei einer willkürlichen > Joomla Installation aus (die ja nicht selten ist) kann ich mich mit diesen > Daten über das phpmyadmin in die fremde Datenbank einwählen, und hätte dann > auch schreibenden Zugriff! Ich kann so hunderte von Benutzeraccounts > auslesen. Das natürlich unbemerkt vom Betreiber des Joomlas. > > Wie würdet Ihr handeln? Klar bin ich mir im Klaren dass das was ich gemacht > habe verboten ist, habe trotzdem eine Mail zum Hoster geschrieben. Bekam > eine Rückmeldung von wegen AGB usw. > > Danke schonmal für Anregungen, Chris..... Ich kann mir vorstellen wer das sein könnte :-) Bekomme von einem Host sehr viel Spam im Moment und ich habe Indizien und einen Verdacht. Durch Deine Ausführung bestärkt sich dieser. Ich schreibe Dich per PM an. Gruss Kamill
Attachment:
signature.asc
Description: This is a digitally signed message part.