[quote=esskar,08.01.2006, 21:47]Wir haben doch letztens über das Problem geredet, dass ein Angreifer die Kompilate ändern könne und dann eine Löschung der Festplatte auslösen könne.
Ich hab da nochmal etwas überlegt. Dadurch hat er dann also Rechte, die Kompilate zu ändern - wahrscheinlich hat er die selben Rechte wie das Script selbst.
Wenn das Script also den Befehl zum löschen der Festplatte lostreten kann, dann kann der Hacker das doch auch und muss nicht den Umweg über das Kompilat machen, oder?

Nur so meine Gedanken - wollte nicht, dass sie verloren gehen bis ich wieder im IRC bin.[/quote]
naja, möglicherweise kann er nur eine lücke in einem anderen cgi ausnutzen, das wiederum unter dem selben user läuft und das es irgendwie erlaubt, dateien zu ändern. dann könnte nicht unbedingt direkt befehle als der betreffende user ausführen.