Tweet
Nabend 
Ich bin seit längeren bei einem bekannten Provider. Ich habe nun letztens aus Jux nen kleines Browser-PHP Script geschrieben, mit dem ich durch die Server Strukturen gehen kann und mir die Dateien angucken kann, soweit ich die Berechtigung dazu habe.
Zu meiner Überraschung konnte ich sogar ziemlich viel zählen, nämlich das ganze root verzeichnis, mit unterverzeichnissen, bildern usw.
Dadurch kann ich schon recht viel über den Server herausfinden. Über die /etc/passwd kann ich dann schön gucken wer alles nen Account auf dem Server hat und wie sein Realname ist.
Weiterhin gibt es Unterverzeichnisse für jeden User, in dem Userspezifische php.ini Dateien liegen, die ich auch, egal von wem, angucken kann. IMHO ist das eine Goldgrube für Hacker, besonders da dies alles theoretisch ja über das freie Web erreichbar wäre (wenn ich das Script da in meinem Userbereich öffentlich machen würde).
Ist das normal, dass ich all diese schönen Dinge sehen kann? Gibt es mit Apache/PHP keine besseren Konfigurationsmöglichkeiten? Ich würde mir nur mal gerne ein paar Meinungen dazu anhören, damit ich dem Provider ggf. eine EMail mit Argumenten schicken kann, da ich selber nicht weiß, ob es überhaupt möglich ist es besser zu Konfigurieren. Wenn nicht wäre das ja auch schon ein wenig gefährlich von Apache/PHP (von wem auch immer) aus.
Danke für eure Infos/Meinungen,
Click
Ich bin seit längeren bei einem bekannten Provider. Ich habe nun letztens aus Jux nen kleines Browser-PHP Script geschrieben, mit dem ich durch die Server Strukturen gehen kann und mir die Dateien angucken kann, soweit ich die Berechtigung dazu habe.
Zu meiner Überraschung konnte ich sogar ziemlich viel zählen, nämlich das ganze root verzeichnis, mit unterverzeichnissen, bildern usw.
Dadurch kann ich schon recht viel über den Server herausfinden. Über die /etc/passwd kann ich dann schön gucken wer alles nen Account auf dem Server hat und wie sein Realname ist.
Weiterhin gibt es Unterverzeichnisse für jeden User, in dem Userspezifische php.ini Dateien liegen, die ich auch, egal von wem, angucken kann. IMHO ist das eine Goldgrube für Hacker, besonders da dies alles theoretisch ja über das freie Web erreichbar wäre (wenn ich das Script da in meinem Userbereich öffentlich machen würde).
Ist das normal, dass ich all diese schönen Dinge sehen kann? Gibt es mit Apache/PHP keine besseren Konfigurationsmöglichkeiten? Ich würde mir nur mal gerne ein paar Meinungen dazu anhören, damit ich dem Provider ggf. eine EMail mit Argumenten schicken kann, da ich selber nicht weiß, ob es überhaupt möglich ist es besser zu Konfigurieren. Wenn nicht wäre das ja auch schon ein wenig gefährlich von Apache/PHP (von wem auch immer) aus.
Danke für eure Infos/Meinungen,
Click
Aber als User sollte man auf solche Daten keinen Zugriff haben. Das hört sich für mich nach einem Berechtigungsproblem an.
Moderator
Kommentar