So ein PHP-Source-Viewer ist eine tolle Sache. Da kann man über die Weboberfläche direkt den Source Code einer PHP-Datei ankucken.
Beispielsweise kann man kontrollieren ob Benutzername und Passwort der Datenbank korrekt eingetragen sind.
46 $dbtype = 'mysqli'; // db-Server-Typ 47 $host = 'localhost'; // Server 48 $user = 'root'; // Benutzer 49 $password = ''; // Passwort 50 $dbase = 'cms'; // db-Name
Oder ob noch alle User in der Passwort-Datei stehen.
1 root:x:0:0:root:/root:/bin/bash 2 bin:x:1:1:bin:/bin:/sbin/nologin 3 daemon:x:2:2:daemon:/sbin:/sbin/nologin 4 adm:x:3:4:adm:/var/adm:/sbin/nologin 5 lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin 6 sync:x:5:0:sync:/sbin:/bin/sync
226 michae2:x:10288:2524::/home/httpd/vhosts/michaelster.ch:/bin/false
Die Passwörter selbst stehen leider in der Shadow, die der Webserver-Prozess nicht lesen darf. Spannend ist natürlich wenn man anhand der Passwort-Datei erkennen kann, welche Domänen auf dem Server gehostet werden.
Ich hab dem Provider eine Mail geschickt. Mal sehen wie schnell das geschlossen wird.
Aber das scheint öfter vorzukommen.
Nachtrag: In zwei Stunden war die Lücke zu.
Die Lücke ist wohl wieder auf. Toller fix.
Comment by max — 11. September 2013 @ 16:54
Kommentare gesperrt wegen Spam
Comment by Christian — 17. Juli 2015 @ 21:22