[TYPO3-german] Typo3 und Sicherheit: Nachtrag
Heimo Ponnath
ponnath at heimo.de
Tue Apr 11 18:38:10 CEST 2006
Hallo,
hier noch ein Nachtrag zu meiner Frage nach der Sicherheit:
Wenn ich beispielsweise eine Standardinstallation von Typo3 auf einem
Server habe, dann kann ich - ohne über das Typo3-System zu kommen -
z.B. durch http://www.server.de/media/scripts/ mir einfach mal alle
Inhalte in diesem Verzeichnis anzeigen lassen.
Das fällt zwar flach, wenn in Apache die Index-Erstellung verweigert
wird, aber weil ich Typo3 kenne, weiss ich ohnehin, welche
PHP-Skripte in diesem Verzeichnis enthalten sind.
Weil ja der Apache diesen Aufruf macht (www-data oder so) ist ja der
schreibende Zugriff erlaubt, kann ich so möglicherweise mit einem
angehängten PUT-Kommando schreiben und unter Umständen Zugriff auf
weitere Inhalte auf dem Server gewinnen...
Gruß von Heimo
--
Heimo Ponnath Design, Rotenhäuserstr. 51, 21109 Hamburg
Tel: 040-753 47 95,Fax: 040-752 68 03, http://www.heimo.de/
More information about the TYPO3-german
mailing list