Ich habe einen ActionHandler eingerichtet.
Beispiel Handler ist wie folgt:


http://www.meine.url/test/index.html wird korrekt durchlaufen.
Das CGI übernimmt die URL PATH_INFO und gibt die Datei nach ein paar Veränderungen aus.

Es gibt nur ein Problem.
Wenn ich die URL des CGIs mit derselben angehängten URL aufrufe, gibt das CGI den eigenen Code aus.
Also ein /cgi-bin/info/newinfos.pl/cgi-bin/info/newinfos.pl gibt sich selbst aus.

Was unter Sicherheitsapekten gruselig ist.

Wie läßt sich das verhindern?

Wahrscheinlich, indem ich teste ob $ENV{PATH_TRANSLATED} eq $0

Oder weiß noch jemand eine Lösung?

Hm. Wenn ich das richtig sehe, solltest du generell in newinfos.pl pruefen, ob nur erlaubte Dokumente uebergeben werden. Was ist denn, wenn du z.B. /cgi-bin/info/newinfos.pl/cgi-bin/.htaccess oder /cgi-bin/info/newinfos.pl/../../../etc/passwd oder aehnliches angibst? Dann wird ja wahrscheinlich die entsprechende Datei durch dein Skript gesaugt, oder?

PS: Gut, beim zweiten Beispiel wird es so sein, dass der Pfad schon vor der Auswertung normalisiert wird, sodass keine Dateien ausserhalb des Serverbereichs angesprochen werden koennen, aber das erste Problem bliebe wohl. (Ungetestet.)\n\n

<!--EDIT|Dubu|1139274941-->

[quote=Dubu,07.02.2006, 02:13][/quote]

Quote

Hm. Wenn ich das richtig sehe, solltest du generell in newinfos.pl pruefen, ob nur erlaubte Dokumente uebergeben werden.

Ja, das ist klar, eine interne Prüfung wird schon gemacht, das ist schon in meinem Handler mit eingebaut. Sonst könnten auch Dateien wie /etc/passwd oder .htpasswd gelesen werden.

Quote

Gut, beim zweiten Beispiel wird es so sein, dass der Pfad schon vor der Auswertung normalisiert wird, sodass keine Dateien ausserhalb des Serverbereichs angesprochen werden koennen

Ja, das denke ich auch.