Modul-Verwaltung: Direktes Einbinden der modinfo.inc.php ein Sicherheitsleck?

Begonnen von k00ni, 01. März 2008, 16:11:50

Vorheriges Thema - Nächstes Thema
Drucken
Nach unten Seiten1
Benutzer-Aktionen

k00ni

01. März 2008, 16:11:50
In der mod.php im Ordner \"admin\" wird direkt die modinfo.inc.php per include \"eingebunden\":
 

include(\"$pdir_mod/$dat/modinfo.inc.php\");

 
 
Meine Frage ist nun, ob das zu Sicherheitsproblemen führen könnte? Man stelle sich ein kompromitiertes Modul vor und der ahnungslose User bindet es ein.
Bei der Installation dasselbe. Dort wird direkt die modinstall.inc.php eingebunden.
Es ist der einfachste Weg. Nur die Frage ist, in wie weit das zu Problemen führen könnte.

Powie

#1
01. März 2008, 17:00:45
Tja, ...... wenn du davon ausgehst, sobald du ein \"böses\" Modul eingebunden hast, ist es wohl egal ob er die modinfo.inc.php includet oder andere Files daraus installiert und / oder ausführt. In dem Fall ist jedes php Script aus deiner Sicht ein Sicherheitsleck.
Dagegen hilft dann nur: Kein php verwenden!  /uploads/emoticons/icon_e_wink.gif.c059000ae48ff64afa53be0962c021f2.gif\" alt=\":wink:\" />

#2
01. März 2008, 20:13:36
In der mod.php im Ordner \"admin\" wird direkt die modinfo.inc.php per include \"eingebunden\":[/quote]
Das ganze Konstrukt dort ist kein Sicherheitsproblem - zumindest nicht so lange kein malizöser Code in $pdir_mod/$dat/ abgelegt werden konnte. Aber das Konstrukt ist ziemlich pointless und doppelt anfällig für Race Conditions.

k00ni

#3
01. März 2008, 20:24:42
Aber das Konstrukt ist ziemlich pointless und doppelt anfällig für Race Conditions.[/quote]
Was schlägst du vor?
Drucken
Nach oben Seiten1
Benutzer-Aktionen
all your base are belong to us / Discord