Opened by GwenDragon at 2006-02-06 18:56
User since
2003-08-04
2145 Artikel
ModeratorIn + EditorIn
2003-08-04
2145 Artikel
ModeratorIn + EditorIn
Hm. Wenn ich das richtig sehe, solltest du generell in newinfos.pl pruefen, ob nur erlaubte Dokumente uebergeben werden. Was ist denn, wenn du z.B. /cgi-bin/info/newinfos.pl/cgi-bin/.htaccess oder /cgi-bin/info/newinfos.pl/../../../etc/passwd oder aehnliches angibst? Dann wird ja wahrscheinlich die entsprechende Datei durch dein Skript gesaugt, oder?
PS: Gut, beim zweiten Beispiel wird es so sein, dass der Pfad schon vor der Auswertung normalisiert wird, sodass keine Dateien ausserhalb des Serverbereichs angesprochen werden koennen, aber das erste Problem bliebe wohl. (Ungetestet.)\n\n
<!--EDIT|Dubu|1139274941-->
PS: Gut, beim zweiten Beispiel wird es so sein, dass der Pfad schon vor der Auswertung normalisiert wird, sodass keine Dateien ausserhalb des Serverbereichs angesprochen werden koennen, aber das erste Problem bliebe wohl. (Ungetestet.)\n\n
<!--EDIT|Dubu|1139274941-->