Hallo,
Ik heb als hobby een server draaien met daarop wat websites van vrienden.
Nou heeft 1 van mijn vrienden ontdekt dat je met een filemanager.php in combinatie met een openfile.php bestand directory's en php files kan uitlezen zoals bijv een config.php file.
Bijv:
User a heeft een account dus zit hij op d:\www\a
hij upload de filemanager.php en openfile.php.
Vervolgens opend hij http://mijnserver/a/filemanager.php en gaat 1 directory terug...hij ziet dan mijn www root :s
Hij kan dan naar bijv. phpbb2/admin gaan en de config.php uitlezen.
Is hier een oplossing voor?
Een htaccess bestand is niet genoeg heb ik gelezen.
Ik ben hier zeker al 3 week mee bezig en ik kan het niet vinden. PS: ik draai apache 2 en php5 op een windows server.
Dit is de filemanager:
<?php
$pad = "/"; //the directory path
$dir_handel = @opendir($pad) or die("The directory cann't be opend..");
echo "The content of your directory<br/>";
while ($file = readdir($dir_handel)) {
echo "<a href=$file>$file</a><br/>";
}
closedir($dir_handel);
?>
Groet,
Robert
540 views
