Weitere Erklärungen zu About Security #40

[Carsten Eilers]

<p>
Im aktuellen Feature wurden die Erkl&auml;rungen zu einigen der Angriffe
aus About Security #40 ausgelassen. Diese gibt es hier:
</p>

<p>
Ob in Zeile 4 tats&auml;chlich &uuml;ber eine
Directory-Traversal-Schwachstelle die Datei .htpasswd eingebunden wurde
kann am einfachsten durch einen Test mit einer daf&uuml;r angelegten
Testdatei gepr&uuml;ft werden: Beim Aufruf einer entsprechenden URL wird
entweder die Testdatei oder eine Fehlermeldung ausgegeben.
</p>

<p>
Ob die Zugriffe auf die Testversion in Zeile 9 und 10 zul&auml;ssig sind
l&auml;sst sich nur aus dem jeweiligen Kontext ermitteln, z.B. ob ein
Zugriff aus dem Internet erlaubt und/oder eine Authentifikation notwendig
ist. Vielleicht sollten sich die Versionen ja auch gar nicht (mehr) auf dem
Webserver befinden und wurden einfach vergessen. Wenn sie sich allerdings
absichtlich und ungesch&uuml;tzt auf dem Webserver befinden handelt es sich
beim Zugriff darauf nicht um einen Angriff im eigentlichen Sinne. Dazu
w&auml;re dann zumindest das Umgehen eines Passwortschutzes notwendig.
</p>