Archiv verlassen und diese Seite im Standarddesign anzeigen : warum php code nicht anschauen?
Also meine frage ist warum man den php code einer online seite nicht anschauen kann?
mfg
-=Player=-
08.05.2009, 12:38
ist eine art von schutz, denn wenn man mit datenbanken arbeitet, stehen die zugangsdaten von den MySQL - Server in der configurationsdatei.
Daher wäre es nicht von vorteil, wenn man alles einsehen könnte.
Das liegt daran, dass der Interpreter Serverseitig ist und es wird auf dem Server ausgeführt und erst dann an den Webbrowser geschickt.
mhm das mit der security habe ich mir schon gedacht.
und es gibbt beswtimmt keine methode das trotzdem anschauen zu können oder?
Hast du gelesen was ich geschrieben habe?
der_Dude
08.05.2009, 13:32
mhm das mit der security habe ich mir schon gedacht.
und es gibbt beswtimmt keine methode das trotzdem anschauen zu können oder?
Klar..entweder mit ner SQL Injection (load_file) oder mit ner LFI und halt den richtigen Pfad angeben.
mfg der_Dude
int_main();
08.05.2009, 13:37
Klar..entweder mit ner SQL Injection (load_file) oder mit ner LFI und halt den richtigen Pfad angeben.
mfg der_Dude
Und mit noch vielen,vielen anderen möglichkeiten. Denn deine antwort geht nur von 2 typen web vulnerabilitys aus.
-=Player=-
08.05.2009, 13:42
eine allzweck Möglichkeit gibt es nicht.
Jedoch gibt es Webmaster, die einen Backup ihrer Config Files auf Ihren space rumzuliegen haben.
Die dateien haben dann ein tilde (~) am ende des dateinamen z.b. config.php~
die datei kannst du über den browser aufrufen ohne, dass der Inhalt vom PHP-Interpreter erfasst wird und daher kannst du auch den PHP-Code sehen und wenn du glück hast stehen dort die config daten drin (mysql oder vlt admin pw).
Hier habt Ihr ein beispiel:
http://www.consorziolocrideambiente.it/config/md-config.php
wenn Ihr hinter dem config.php ein ~ anhängt, könnt Ihr den php-code sehen ;)
@Player: Sehr schön. Die Methodik gefällt mir. Wäre eine sehr schön einfache Methode die MySQL-Daten abzugreifen ohne, dass der Webmaster viel davon mitbekommt (außer den Seitenaufruf vllt.).
Aber ein Backup auf dem Space zu lagern, wo es für jedermann sichtbar und aufrufbar ist ist nicht gerade die schlaue Art... Naja.
-=Player=-
08.05.2009, 15:26
ich glaube es gibt sogar einige ftp-programme, das automatisch ein backup macht, wenn man die überschreibt.
Wenn wir schon beim klugscheißen und aufregen sind *hust, niemand bestimmtes anguck* :rolleyes:. Es liegt streng genommen daran, dass der Webserver so konfiguriert wurde.
Vereinfacht gesprochen: man sagt dem Server, wie er mit bestimmten Dateien zu verfahren hat.
Z.B in dem du in die config-datei schreibst:
"wird eine Datei mit der Endung .PHP angefordert: ->führe Programm %dateiname% aus; lese die Ausgabe des Programms -> leite diese weiter (an den Anfragesteller)"
Wie man es genau konfiguriert, kommt natürlich auf das Webserverprogramm an. Z.B http://netzadmin.org/server/apache/apache-wamp.htm
Was also mit PHP Dateien passiert, hängt nur davon ab, welches Programm man/Admin reingesetzt hat. Ist es ein Interpreter, wird das PHP Script abgearbeitet und der "HTTP-Anfragesteller" bekomt nur dessen STDOUT zu sehen. Ist es ein PrettyPrinter, bekommt man eventuell den Quelltext schön eingerückt präsentiert ;).
Wenn man wirklich lustig ist, installiert man auf dem server LaTeX, konfiguriert es auf (HTML->PDF oder JPG)und konfiguriert den Webserver so, dass er alle HTML Anfragen an Latex weiterleitet. Damit bekommt der User die Webseiten auf diesem Server als JPGs präsentiert (der ultimative HTML Quellcodeschutz :D)
@Player: Achso das erklärt natürlich alles. Aber wer ein Wenig Ahnung hat nimmt lieber Programme, die nicht ganz so "eigensinnig" sind und den Nutzer entscheiden lassen, was gemacht werden muss / soll... Naja jetzt weiß ich weningstens, was ich prüfe, wenn ich an eine Config-Datei rankomme. ^^
... Damit bekommt der User die Webseiten auf diesem Server als JPGs präsentiert (der ultimative HTML Quellcodeschutz :D)
Wie meinst du das? Wird dann der Mime-Type verändert?
Wenn du das meinst, dann werden die Browser die Dateien doch meiner Meinung nach als Bild öffnen. Und der Quellcode würde dadurch auch nicht geschützt werden.
LudenJupp
10.05.2009, 16:54
Nein. Er meint, dass man die eigentliche Ausgabe an Latex schickt, welches daraus ein Bild macht und das Bild dann an den anfrangenden Browser schickt. Somit erhälst du immer nur ein Bild.
Wie meinst du das? Wird dann der Mime-Type verändert?Das Bsp. mit Latex ist nur ein Hirngespinst, um zu zeigen, was möglich wäre ;). Die meisten Webserver (im Sinne von Programm) unterstützen zumindest CGI (http://www.jmarshall.com/easy/cgi/german/). Damit lässt sich eine Weiterleitung von Datentyp X zum Programm Y bewerkstelligen. Man kann damit also relativ leicht alles mögliche verarbeiten und z.B Webdienste in TurboPascal (sogar mal ausprobiert :) ) oder Brainfuck erstellen. Wird allerdings zu sehr OT.
Powered by vBulletin® Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.