Seite wählen

Hier kommt nun die Sicherheitslücke ins Spiel… Der Webserver war so konfiguriert, dass jedes Script (Dateien einer Webseite) mit erhöhten Rechten ausgeführt wurde.. Der Dateimanager macht nichts anderes als alle verfügbaren Dateien darzustellen.

(Wie bei einem Windows PC… Wenn mehrere Personen einen Computer gemeinsam nutzen, sieht jeder Benutzer unter „C:\Benutzer“ sehr viele Ordner… Jedoch kann man immer nur seinen eigenen öffnen…)

 

Auf einem Webserver funktioniert das genau gleich… sollte es zumindest… Jede APP (Dienstplan, Intranet,…) sollte mit einem eigenen Benutzer gestartet werden, so dass die jeweilige APP immer nur Zugriff auf die eigenen Dateien hat… Da meine APP mit den erhöhten Berechtigungen ausgestattet wurde (vom Serveradministrator) hatte sie und somit auch der Dateimanager Zugriff auf alle Dateien des Servers…

Auch diese Sicherheitslücke wurde mittlerweile geschlossen.