Upload script vor ausführbaren Dateien schützen

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Upload script vor ausführbaren Dateien schützen

    Hallo,

    auf meiner Jahrgangseite gibt es ein Upload-Script.

    Im Prinzip will ich exe Dateien zulassen. Nun kann man aber wenn ich alle Dateitypen zulasse *.php Dateien hochladen und diese dann ausführen wenn man den Pfad kennt. Das dies eine Sicherheitslücke von großem Ausmaß ist muss ich wohl nicht näher erläutern. das selbe gilt für *.pl *.cgi Dateien.

    Nun habe ich die Möglichkeit alle Dateien des MIME Types "text/plain", und "application/octet-stream" zu verbieten. Dann kann ich aber auch keine Textdateien und keine selbstextrahierenden RARs bzw. ZIPs hochladen.

    Nun liegt es nahe dem Server einfach zu verbieten diese Dateien auf dem Server auszuführen.
    habe das ganze per FTP probiert, dann funktioniert aber der komplette Upload nicht mehr.

    Wie kann ich es machen das ich diese Dateien zwar hochladen kann aber der server sie nicht ausführt, durch link oder direkte Adresseingabe in den Browser?

    Falls jemand andere Ideen hat auch hier posten bitte.
    Ist echt ein Problem denn über diese Lücke kommt man zum gesamten quelltext der php Dateien...

    Thx4help
    Flo

  • #2
    qick n dirty:
    - benenn die dateien einfach um
    $array['exe'] = 'foo'
    $array['php'] = 'bar'
    - zusätzlich kannst du einen kryptischen namen vergeben

    - werte in der db speichern (klarname|kryptname)
    - bei einem download das ganze wieder zurückschreiben
    Kissolino.com

    Kommentar


    • #3
      Am Sinnvollsten ist es, die User nicht direkt an die Dateien zu lassen, sondern ein PHP-Script zu basteln, dass die Dateien einliest und wieder ausgibt. Das Verzeichniss kannst du dann mit .htacess schützen oder außerhalb des Document Root platzieren.

      Alternativ kannst du auch einfach die Endungen .php .pl .cgi usw. verbieten, und alle anderen erlauben oder auch nur ein paar Endungen erlauben, und den Rest verbieten.
      hopka.net!

      Kommentar

      Lädt...
      X