Jump to content
Sign in to follow this  
k00ni

Modul-Verwaltung: Direktes Einbinden der modinfo.inc.php ein Sicherheitsleck?

Recommended Posts

In der mod.php im Ordner "admin" wird direkt die modinfo.inc.php per include "eingebunden":

 

include("$pdir_mod/$dat/modinfo.inc.php");

 

Meine Frage ist nun, ob das zu Sicherheitsproblemen führen könnte? Man stelle sich ein kompromitiertes Modul vor und der ahnungslose User bindet es ein.


Bei der Installation dasselbe. Dort wird direkt die modinstall.inc.php eingebunden.


Es ist der einfachste Weg. Nur die Frage ist, in wie weit das zu Problemen führen könnte.

Share this post


Link to post
Share on other sites

Tja, ...... wenn du davon ausgehst, sobald du ein "böses" Modul eingebunden hast, ist es wohl egal ob er die modinfo.inc.php includet oder andere Files daraus installiert und / oder ausführt. In dem Fall ist jedes php Script aus deiner Sicht ein Sicherheitsleck.


Dagegen hilft dann nur: Kein php verwenden! :wink:

Share this post


Link to post
Share on other sites
Guest
In der mod.php im Ordner "admin" wird direkt die modinfo.inc.php per include "eingebunden":

Das ganze Konstrukt dort ist kein Sicherheitsproblem - zumindest nicht so lange kein malizöser Code in $pdir_mod/$dat/ abgelegt werden konnte. Aber das Konstrukt ist ziemlich pointless und doppelt anfällig für Race Conditions.

Share this post


Link to post
Share on other sites
Aber das Konstrukt ist ziemlich pointless und doppelt anfällig für Race Conditions.


Was schlägst du vor?

Share this post


Link to post
Share on other sites
Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...