DelphiKing
King with a crown
- 20 April 2006
- 6.554
- 729
Aloha,
ich habe ein Debian5-System und dort mit Apache und modPHP diverse Webseiten auf vhosts verteilt, die alle in Verzeichnissen dieser Art liegen:
Entsprechend den Verzeichnissen habe ich jeweils eine vhost-Config für Apache in der Art:
Allerdings musste ich jetzt mit Schrecken feststellen, dass man zum Beispiel mit PHP und fopen() problemlos auf die Verzeichnisse anderer User zugreifen kann.
Also z.B. in /var/www/domain1.de/test.php mit fopen("/var/www/domain2.org/geheim.txt", "r") den Inhalt der fremden Datei auslesen.
Ignoriert der Apache/PHP da das DocumentRoot völlig und gestattet auf alles Zugriff, auf das er eben zugreifen kann (was ja logischerweise alle Webseiten sind)?
Warum! Und was tun!
Grüßle, flo
ich habe ein Debian5-System und dort mit Apache und modPHP diverse Webseiten auf vhosts verteilt, die alle in Verzeichnissen dieser Art liegen:
- /var/www/domain1.de/
- /var/www/domain2.org/
Entsprechend den Verzeichnissen habe ich jeweils eine vhost-Config für Apache in der Art:
Code:
<VirtualHost *:80>
DocumentRoot /var/www/domain1.de
[…]
</VirtualHost>
Allerdings musste ich jetzt mit Schrecken feststellen, dass man zum Beispiel mit PHP und fopen() problemlos auf die Verzeichnisse anderer User zugreifen kann.
Also z.B. in /var/www/domain1.de/test.php mit fopen("/var/www/domain2.org/geheim.txt", "r") den Inhalt der fremden Datei auslesen.
Ignoriert der Apache/PHP da das DocumentRoot völlig und gestattet auf alles Zugriff, auf das er eben zugreifen kann (was ja logischerweise alle Webseiten sind)?
Warum! Und was tun!
Grüßle, flo