Hallo Leute,
habe eine Frage zum CGI. Hat nicht direkt mit Programmierung zu tun, aber gut.
Kann ich folgende Aussage treffen?
Taucht in einer Webadresse /cgi-bin/… auf, so ist dies für die Ermittlung der eigentlichen Webadresse immer zu vernachlässigen.
Beispiel:
www.beispiel.de/cgi-bin/in.cgi?blabla=ID%oderso
Hier ist die Adresse immer www.beispiel.de, egal ob hinten eine 123 oder ein Name oder sonst was steht.
Hoffe meine Frage ist verständlich.
Für ausführliche Antwort/en wäre ich dankbar.
Gruß
Peter
Hi,
Taucht in einer Webadresse /cgi-bin/… auf, so ist dies für
die Ermittlung der eigentlichen Webadresse immer zu
vernachlässigen.
Ich hole mal ein bisschen aus:
Auf den meisten Websites, die so konzipiert sind, dass sie „sicher“ sind, findet sich ein Pfad wie /cgi-bin/ oder so ähnlich (muss nicht /cgi-bin/ heissen). Dieser Pfad liegt dann ausserhalb des Webspaces, Du hast also keine Chance diese Dateien in Rohfassung in die Hände zu kriegen, bzw. in diesen Pfad Dateien (Skripte!) einzupflanzen, um böse Dinge anzurichten.
Nun zu Deiner Frage explizit:
Die eigentliche Webadresse des Skriptes ist schon /cgi-bin/…, wo das Skript allerdings physikalisch liegt, ist wieder etwas ganz anderes.
Wenn Du Dich ein bisschen mehr darüber informieren willst, dann schau mal nach unter:
http://www.apache.org/docs-1.2/mod/mod_alias.html#alias
http://www.apache.org/docs-1.2/mod/mod_alias.html#sc…
Grüsse,
Franz Prilmeier
Taucht in einer Webadresse /cgi-bin/… auf, so ist dies für
die Ermittlung der eigentlichen Webadresse immer zu
vernachlässigen.
Wenn du mit Webadresse die Domain meinst, dann ist eh egal, was für ein Verzeichnis da angegeben ist
Beispiel:
www.beispiel.de/cgi-bin/in.cgi?blabla=ID%oderso
Hier ist die Adresse immer www.beispiel.de, egal ob hinten
eine 123 oder ein Name oder sonst was steht.
Ja klaro, alles nach www.beispiel.de ist unwichtig, der Server ist immer der gleiche, und Parameter die nach einem Fragezeichen an ein Script übergeben werden haben sowieso nichts mit der Adresse zu tun, ist nur ein Trick um ein Script mit Parametern aufzurufen.
Bruno
Auf den meisten Websites, die so konzipiert sind, dass sie
„sicher“ sind, findet sich ein Pfad wie /cgi-bin/ oder so
ähnlich (muss nicht /cgi-bin/ heissen). Dieser Pfad liegt dann
ausserhalb des Webspaces, Du hast also keine Chance diese
Dateien in Rohfassung in die Hände zu kriegen, bzw. in diesen
Pfad Dateien (Skripte!) einzupflanzen, um böse Dinge
anzurichten.
Das kann aber auch unterhalb des Webvereichnises liegen, oder gar nicht cgi-bin oder so heissen. Der Webserver muss nur so konfiguriert sein, dass er Dateien mit einer bestimmten Endung ausführt anstatt zu senden, dann hast du trotzdem keine Chance an die Quellcodes ranzukommen.
Bruno
Das kann aber auch unterhalb des Webvereichnises liegen, oder
gar nicht cgi-bin oder so heissen. Der Webserver muss nur so
konfiguriert sein, dass er Dateien mit einer bestimmten Endung
ausführt anstatt zu senden, dann hast du trotzdem keine Chance
an die Quellcodes ranzukommen.
Wichtiger als das ist, dass man keine Chance hat, da selber Skripten reinzupflanzen (Ich denke da an ein HTTP-PUT), dann nämlich kann man sich das ganze /cgi-bin/ einfach mailen lassen.
Grüsse,
Franz Prilmeier
Wichtiger als das ist, dass man keine Chance hat, da selber
Skripten reinzupflanzen (Ich denke da an ein HTTP-PUT), dann
nämlich kann man sich das ganze /cgi-bin/ einfach mailen
lassen.
Ah verstehe, naja das sollte eh nicht zulässig sein, ich will doch keine fremden Dateien auf meinem Webserver ob HTML oder Script.