Path: csiph.com!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail From: Arno Welzel Newsgroups: de.comm.software.webserver Subject: Re: Scriptsammlung isolierter Vhost Date: Tue, 21 Jun 2022 19:42:29 +0200 Lines: 37 Message-ID: References: Mime-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-Trace: individual.net 3QElsulULJcdg6J/4wCWMA84OzGpSuceLZV8QDFZxek0R5A0Ep Cancel-Lock: sha1:rmu3vnpWyvxbexPfxp/4YMX3T4o= Content-Language: de-DE In-Reply-To: Xref: csiph.com de.comm.software.webserver:1462 Thomas Hochstein: > Arno Welzel schrieb: > >> Aber da www-data ohnehin auf Websites >> zugreifen darf - was genau würde man damit gewinnen, statt einfach über >> die vorgesehene Domain zuzugreifen? > > Sehr viele Webseiten enthalten Dateien, die nicht von außen abrufbar sein > sollen oder dürfen. Zum einen können das interne/geschützte Bereiche sein, > zum anderen sind bei Webapplikationen oder CMS regelmäßig Passworte (bspw. > für die dahinterstehende Datenbank) im Quellcode enthalten. Nein, nicht im Quellcode, sondern in einer Konfigurationdatei, an die man von außen per HTTP(S) nicht herankommt. Und "geschützte Bereiche" werden üblicherweise vom Webserver geschützt. Ich sehe immer noch kein Szenario, bei dem ein Angreifer bei korrekter Konfiguration des Webservers an diese Daten herankommen sollte, nur weil die Dateien für den Webserver via www-data lesbar sind. Beispiel: Da gibt es natürlich eine Konfigurationsdatei, die für PHP lesbar im Webspace liegt. Der Name und Pfad dieser Datei ist bei allen WordPress-Installationen identisch, da WordPress sie ja lesen können muss, um die Datenbankverbindung etc. zu kennen. Bitte zeige, wie man an als Angreifer diese Datei herankommt, weil sie für www-data lesbar ist. Ach ja - PHP hat nur Zugriff auf die Daten des jeweiligen virtuellen Hosts und CGI-Scripte oder SSI sind nicht möglich. -- Arno Welzel https://arnowelzel.de