Opened by Gast at 2004-02-20 15:58
User since
2003-08-04
1706 Artikel
HausmeisterIn
![[Homepage]](/battie/theme/default/homepage.gif)
![[default_avatar]](/battie/theme/default/default_avatar.gif)
2003-08-04
1706 Artikel
HausmeisterIn
OK schauen wir mal
OK also $datei.
MMh wo kommt $datei her:
Whow wo kommt $file her...
Also aus der URL die als Paramter nach dem "?" in der Query mitgegeben wird. Das schreit nach Sicherheitslücken.
Aber weiter...
warum wird jetzt nix gespeichert?
OK Die Datei wird, so wie sie definiert wird, Vorrausgesetzt die RegEx schmeist alles bis auf den Dateinamen raus (Ich denke den kann man auch noch zum Aufgeben bringen), im CurrentDirectory (pwd) gespeichert werden.
Nehmen wir mal an, du hast nicht den user wwwrun oder wwwroot benutzt um die Dateien (Script) dort abzulegen, ergo das Verzeichnis wird wahrscheinlich auch diesem user (nicht wwwrun oder wwwroot) gehören und der Apache ist minder durchdacht konfiguriert, wird das Script mit dem User wwwrun oder wwwroot (Apache 2.0) ausgeführt, ergo wird auch die Datei $datei mit dem user in dem Verzeichnis erstellt. Wenn die Rechtevergabe des Verzeichnisses jetzt noch das Werk komplettiert und das Betriebssystem dem user wwwrun oder wwwroot den Mittelfinger zeigt und obendrein dein ausgewähltes Script keinerlei ErrorHandling vorweist wundert es micht nicht, dass es nicht funktioniert.
Mein Tipp nach dieser predigt vorrausgesetzt es stimmt das wie ich es gesagt hab:
Er stell in dem Verzeich wo auch cgi-bin liegt ein Verzeichnis data und legt als besitzer wwwrun oder wwwroot fest (eher wwwrun) und änder die Zeile wie folgt ab: $datei = '../data/' . $file . ".txt";
PS: ich hab mir Frechheit rausgenommen und angenommen dass Apache als Webserver-Plattform verwendet wird.
Gruß Alex
Edit: Mein Rat: Wenn du weiterhin ernsthaft programmieren willst, solltest du dir nochmals Gedanken über die Grundlagen (hier von perl-programmierung) machen. ich kann die für perl ein gutes Buch von O'Reillys empfehlen Perl Kochbuch etwas schwerer zu verstehen Programmieren mit Perl. Dabei ist wie nich anders zu erwarten Ausdauer beim lesen gefordert. wollt ich nur noch kurz loswerden.\n\n
<!--EDIT|format_c|1077361658-->
QuoteCode: (dl )open (CLICKDATA,">$datei");
OK also $datei.
MMh wo kommt $datei her:
QuoteCode: (dl )$datei = $file . ".txt";
Whow wo kommt $file her...
Quote
Also aus der URL die als Paramter nach dem "?" in der Query mitgegeben wird. Das schreit nach Sicherheitslücken.
Aber weiter...
warum wird jetzt nix gespeichert?
OK Die Datei wird, so wie sie definiert wird, Vorrausgesetzt die RegEx schmeist alles bis auf den Dateinamen raus (Ich denke den kann man auch noch zum Aufgeben bringen), im CurrentDirectory (pwd) gespeichert werden.
Nehmen wir mal an, du hast nicht den user wwwrun oder wwwroot benutzt um die Dateien (Script) dort abzulegen, ergo das Verzeichnis wird wahrscheinlich auch diesem user (nicht wwwrun oder wwwroot) gehören und der Apache ist minder durchdacht konfiguriert, wird das Script mit dem User wwwrun oder wwwroot (Apache 2.0) ausgeführt, ergo wird auch die Datei $datei mit dem user in dem Verzeichnis erstellt. Wenn die Rechtevergabe des Verzeichnisses jetzt noch das Werk komplettiert und das Betriebssystem dem user wwwrun oder wwwroot den Mittelfinger zeigt und obendrein dein ausgewähltes Script keinerlei ErrorHandling vorweist wundert es micht nicht, dass es nicht funktioniert.
Mein Tipp nach dieser predigt vorrausgesetzt es stimmt das wie ich es gesagt hab:
Er stell in dem Verzeich wo auch cgi-bin liegt ein Verzeichnis data und legt als besitzer wwwrun oder wwwroot fest (eher wwwrun) und änder die Zeile wie folgt ab: $datei = '../data/' . $file . ".txt";
PS: ich hab mir Frechheit rausgenommen und angenommen dass Apache als Webserver-Plattform verwendet wird.
Gruß Alex
Edit: Mein Rat: Wenn du weiterhin ernsthaft programmieren willst, solltest du dir nochmals Gedanken über die Grundlagen (hier von perl-programmierung) machen. ich kann die für perl ein gutes Buch von O'Reillys empfehlen Perl Kochbuch etwas schwerer zu verstehen Programmieren mit Perl. Dabei ist wie nich anders zu erwarten Ausdauer beim lesen gefordert. wollt ich nur noch kurz loswerden.\n\n
<!--EDIT|format_c|1077361658-->