Ralph wrote: ↑Tue 20. Jun 2023, 08:32
Es ist etwas kritisch das die v-host settings hier außer Kraft gesetzt werden können wenn diese expilzit auf -Indexes eingestellt sind.
Der User kann sich nicht auf die v-host Einstellung verlassen, löchrige CMS machen mir hierbei Sorgen,
Nein, das ist nicht kritisch, da die Option "+Indexes" systemweiter Standard ist und vom User bereits jetzt schon jederzeit aktiviert werden kann.
Ralph wrote: ↑Tue 20. Jun 2023, 08:32
da müßte nur ein Download einer manipulierten .htaccess ausgelöst werden und du hast Zugriff auf alles ... incl. Datenbank wenn die PW lesbar sind.
Du meinst sicherlich einen Upload.
Passwörter sind immer im Klartext in irgendeinem Config File. Das ist Standard.
Aber nur weil das Listing aktiviert ist, ist PHP nicht außer Funktion. Wenn also das Passwort, wie üblich, in einer PHP Datei steht, dann wird diese Datei auch nicht im Quelltext angezeigt, sondern wird nach wie vor durch den PHP Interpreter geschickt.
==================================
Ich verschiebe jetzt den Thread nach "Fehler / Probleme" und Alex wird sich der Sache annehmen.
Moin Tobi!
Danke, gut dann eben Upload (bzw. via FileDownloader in bereits installierter Malware)) ist möglich je nach PHP settings ...
Ich habe bisher noch nicht gestestet ob sich noch andere DirectoryIndex settings oder PHP Anweisungen in .htaccess oder .user.ini beeinflussen lassen die in dem Zusammenhang genutzt werden könnten.
Momentan sehe ich das schon etwas kritisch und es sollte überprüft werden ...
z.b. SetHandler, RemoveHandler mit +Indexes
Alexander wrote: ↑Tue 20. Jun 2023, 10:10
Und wo liegt jetzt der Fehler bei KeyHelp? Bzw. was soll ich eurer Meinung nach jetzt ändern - Das ist doch normales Apache Verhalten.
Zur Lösung:
1) Über Konfiugration -> Webserver -> Globale Webserver direktiven
Folglich funktioniert dann eine .htaccess mit "Options +Indexes" nicht mehr.
2) Für punktuelles Aktivieren nutzt man dann die Domain-spezifischen Apache-Einstellungen.
3) Den Button im Benutzerbereich kann man über White-Label JS deaktivieren.
Danke Alex!
wenn sich die Handler in dem Zusammenhang auch verändern lassen, wäre Deine Lösung hierbei eventl als Default setting die bessere ... ich weiß es nicht, aber wenn es jemand braucht könnte es ja wie Du schreibst Domain-spezifisch aktiviert werden ...
Gut ich sehe das vieleicht etwas zu überzogen, weil ich früher nach einem Vorfall leicht traumatisiert wurde
Ich sag mal so, es ist halt ein Trugschluss nur weil man denk, "ich hab das Directory Listing deaktiviert, kein Mensch wird jemals meine geheime-datei.txt auf dem Server finden".
Einem zufälligen neugierigen Besucher macht man es mit Directory-Listing natürlich einfach, das stimmt. Aber notfalls schreib ich mir als Angreifer ein Script was gängige Namen bzw. automatisch alle Buchstaben durchläuft bzw. am besten noch eines, was sich automatisch von Server zu Server hangelt und schau am Ende vom Tag was es so alles entdeckt hat.
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander wrote: ↑Tue 20. Jun 2023, 10:10
Und wo liegt jetzt der Fehler bei KeyHelp?
Kein Fehler von KeyHelp.
Klassischer Fall von "der Fehler sitzt vor dem Bildschirm".
Habe nämlich gestern auch noch ewig rumprobiert und hab´s nicht hinbekommen.
Deswegen war auch meine Vermutung, dass die Globale Webserverdirektive eventuell nicht greift.
Danke für die Erleuchtung
Gruß,
Tobi
----------------------------- wewoco.de Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Super, das funktioniert sehr gut, gleiche Reaktion wie bei gesetztem "Options FollowSymLinks" ergibt einen 500er Internal Server Error
Noch eine Frage zum Output Layout ....
Lässt sich die Fehlermeldung beim 500er irgendwie anpassen damit die Email Adresse des Users nicht angezeigt wird?
Internal Server Error
....
"Please contact the server administrator at user@domain.tld to inform them of the time this error occurred"
(bzw. via FileDownloader in bereits installierter Malware)) ist möglich je nach PHP settings ...
