Search…

X3 Photo Gallery Support Forums

Search…

hilfreich / helpfully

ja / yes
No votes
nein / no
No votes
 
Total votes: 0
 
hau
Topic Author
Posts: 2
Joined: 13 Jan 2011, 16:04

Sicherheitsproblem

14 Jan 2011, 03:12

Hallo zusammen, dear all (for english see bellow)

die neue Version X2 hat ein erhebliches Sicherheitsproblem,
die Inhalte versteckter oder mit Passwort versetzten Ordner können problemlos eingesehen werden!!!

Wie?

Beispiel anhand der Demo:

Der Ordner "content" enthält zwei Dateien mit Namen: folders.xml und folderdata.xml.
Zuerst ist mal die folders.xml interessant, denn darin sind alle Unterverzeichnisse und die Inhalte der einzelnen Seiten enthalten.

Einsehbahr wie hier als Beispiel:
https://www.photo.gallery/demo/x2/content/folders.xml

darin interessant:
-path
hier werden alle Verzeichnisse gelistet
Beispiel: "content/Various Examples/password/"
-description
Bei der Beschreibung steht dass nur die das PW kennen die Daten einsehen dürfen, ja klar ;-)
-hidden="true"
auch interessant sind die versteckten Verzeichnisse, vielliecht auch etwas interessantes dahinter...

nun, denn weiter im Beispiel gehen wir jetzt auf den Link: https://www.photo.gallery/demo/x2/content/co ... /password/
wenn der Webserver einigermassen vernünfitg gesichert ist, sagt dieser uns, dass man keine Verzeichnisse auflisten darf... diese hindert uns aber nicht daran, die Daten trotzdem auszulesen, denn jetzt kommt die folderdata.xmlDatei an die Reihe, denn diese Datei steht in jedem Verzeichniss drinn.
Bei unserem Beispiel wäre das den der Link: https://www.photo.gallery/demo/x2/content/Va ... erdata.xml

Darin kann man jetzt, zwar ein bisschen kryptisch, aber dennoch gut jede Datei einsehen die sich in diesem Verzeichniss befinden.
In unserem Beispiel wäre da das Bild 4b3346d7d-cc85-4d88-ad0c-89abc3326022.jpg. Also gibt man den Link so ein https://www.photo.gallery/demo/x2/content/Va ... 326022.jpg
Und siehe da, das Bild ist auf dem Schirm....obwohl die Seite ein Passwort verlangen würde :!:

Nun denn, man kann sich sehr einfach gegen dieses Problem schützen... Die Lösung heisst hier auf einem apache Webserver .htaccess

kopiere die Datei .htaccess mit folgenden Inhalt in das "root Verzeichniss" des Webserver, dann werden alle direkten Zugriffe auf diese xml Dateien verboten... Die Imagevue Gallery läuft aber weiterhin, nur mit dem Vorteil das niemand die Dateien einsehen darf.
Code
##########  .htaccess  START  ################
# Protect files from prying eyes.
# Schuetzt vor neugierigen Augen.
<FilesMatch ".*xml">
  Order allow,deny
</FilesMatch>


# Don't show directory listings for URLs which map to a directory.
# Verbietet das die Inhalte der Verzeichnisse aufeglistet werden.
Options -Indexes


# redirect by failure to the startpage.
# Bei einer Fehlerseite direkt wider auf die Startseite gehen.
ErrorDocument 404 /index.php

##########  .htaccess ENDE  ################
Dieser Beitrag ist Dir CHF 5.- Wert?
Dann kann hier via
Paypal eine kleine Spende an mich abgegeben werden :roll:




############################# IN BAD ENGLISH :-)

Hello all


the new version of imagevuex X2 Gallery has a really big security problem.

It is possible to look at the content equal the folder is password protected a hidden folder!

how?

the folder "content" has two importent files: folders.xml and folderdata.xml.

is the webserver not enough protectet so you can see in this files.
As sample, we take the demo from this site: https://www.photo.gallery/demo/x2/content/folders.xml

there are some interesting things inside the file :)
-path we take this: "content/Various Examples/password/"
-description: here is writen that only peoples who know the pw can read the content, of course ;-)
-hidden="true" : maybe also interesting...

then wie go to the link https://www.photo.gallery/demo/x2/content/co ... /password/
when the webserver denied the access to list files, then is the webserver a little secure... but this is not the problem, then wie take the file folderdata.xml

in our sample is that this link: https://www.photo.gallery/demo/x2/content/Va ... erdata.xml

now we can see all files they are in this folder, the first file in this xml is this picture: 4b3346d7d-cc85-4d88-ad0c-89abc3326022.jpg, also denn
we can open this file with this link: https://www.photo.gallery/demo/x2/content/Va ... 326022.jpg

And we see the picture without any passwords... :!:

to protect this security problem is very easy, copy the content to the root of your webserver in the file ".htaccess" --> for apache webserver!
Code
##########  .htaccess  START  ################
# Protect files from prying eyes.
# Schuetzt vor neugierigen Augen.
<FilesMatch ".*xml">
  Order allow,deny
</FilesMatch>


# Don't show directory listings for URLs which map to a directory.
# Verbietet das die Inhalte der Verzeichnisse aufeglistet werden.
Options -Indexes


# redirect by failure to the startpage.
# Bei einer Fehlerseite direkt wider auf die Startseite gehen.
ErrorDocument 404 /index.php

##########  .htaccess ENDE  ################
From now can nobody anywhere look inside in your xml files, your webserver is now safe ;-)

is this article helpfully for you?
i would be glad about a donation. :roll:
Paypal 5.- Swiss franc