WebsiteBaker Support (2.8.x) > Diskussion über WB (closed)

WBMobile WB 2.9 dev Rx + WBMobile WB 2.8.2 (Win32)

<< < (3/6) > >>

Stefek:
Ich glaube, das ist der Falsche.
Der hat sowas im Footer stehen:

--- Code: ---We are human beings - and nobody is perfect at all.
--- End code ---
Das würde ein "Gott" nicht machen, nein, nicht mal ein griechischer Halbgott.  :-D

HANS 0:
Meine Test-Suite hat nix gezeigt.
In der "Firma" hingegen gibt's zu 2.9 dev R4:
"hub_dir" Local File Inclusion Vulnerability


--- Code: ---GET /index.php?hub_dir=/../../../../../../../../datei%00 HTTP/1.0
Cookie: wb_9354_session_id=q2oivbu7vujv9hki162ed5o7p5
Accept: */*
Accept-Language: en-US
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)
Host: 127.0.0.1
--- End code ---

Könnt ja mal gucken, ob das je nach Server zutrifft.
Das Soll wäre die serverunabhängige Unterbindung. (wwwroot stop?)

DarkViper:

--- Quote ---Das Soll wäre die serverunabhängige Unterbindung. (wwwroot stop?)
--- End quote ---

steht seit einiger Zeit bereits auf der Liste.
Der erste Schritt ist in der 2.9 schon getan, indem WB_URL für 'normale' anwendung deprecated gekennzeichnet und durch WB_REL ersetzt/ergänzt wird. WB_REL = enthält den Pfad, ausgehend vom Documentroot, so dass Links unabhängig von der jeweiligen Domain und/oder Installationsverzei chnis werden. Zusätzlich wird dadurch der Seitenaufbau beschleunigt, da nicht für jeden Link die durch das http erzwungene DNS-Abfrage ausgeführt werden muss.

HANS 0:
Dieser Fehler ermöglicht ja anscheinend durch den Direktzugriff auf ServerDir's u. mehr die Umgehung anderer Sicherheitsmechanis men. Ist 'ne richtig böse Falle, je nach Server. Durfte mir heute ansehen, was dann möglich ist. Das tut richtig weh  :-o

DarkViper:
Solche 'Spielchen' werden - zumindest im Core - zukünftig nicht mehr möglich sein, da jeder übergebene Pfad überprüft wird, ob er auch innerhalb des Installationsverzei chnisses liegt.

Navigation

[0] Message Index

[#] Next page

[*] Previous page