MOD_AUTH_MYSQL kann mit einem einfachen "/" umgang

Alles, was den Apache betrifft, kann hier besprochen werden.

MOD_AUTH_MYSQL kann mit einem einfachen "/" umgang

Postby tromorow » 02. September 2003 18:59

Skandal


Das bei xampp mitgeliferte MOD_AUTH_MYSQL kann mit einem einfachen extra "/" umgangen werden!

Probirt es selber! wenn ihr den Mitgeliferten Ordner Aufruft!
http://localhost/restricted/ ||und die Passwordabfrage kommt
http://localhost//restricted/ ||und es kommt kein password und ihtr set dennoch im Ordner!

Achtung: es muss aber jedes mahl der Browser neu gestartet werden!
tromorow
 

Postby Oswald » 02. September 2003 20:28

Huhu Skandal!

Kannst Du mal Deine Konfig hier posten? Ohne das können wir Dir wirklich nicht helfen!

Bitte nicht die ganze httpd.conf sondern nur der Part, der den Passwort-Schutz betrifft! ;)

Liebe Grüße,
Oswald
User avatar
Oswald
Apache Friends
 
Posts: 2718
Joined: 26. December 2002 19:51
Location: Berlin, Germany
Operating System: Linux

Postby HardySim » 02. September 2003 20:50

den ordner gibts bei mir net..

oder hat des was mit ner extra-config zu tun?
[url=http://www.hardysim.de]
Image[/url]
www.party-safari.net
User avatar
HardySim
 
Posts: 325
Joined: 19. June 2003 10:22
Location: Geisenheim

Postby Benzman » 03. September 2003 15:30

ich hab das grad mal getestet und es scheint, als hätte er wirklich recht. man kann das wirklich umgehen, indem man einfach http://localhost//restricted/ anstatt http://localhost/restricted/ eingibt. Die einzige Möglichkeit, die ich grad gefunden hab, ist, anstatt die mod_mysql_auth.conf zu nehmen, eine .htaccess datei in /restricted zu erstellen, die den gleichen Inhalt bis auf das <Location ...> und </Location> enthält.
User avatar
Benzman
 
Posts: 132
Joined: 27. July 2003 18:46
Location: Bayern

Postby Oswald » 03. September 2003 16:01

Huhu Benzman!

Ich glaube, das einfach nur das Location falsch ist und das es auch mit normalen .htpasswd das gleiche "Problem" gibt. Daher würd mich mal die tatsächliche Konfiguration interessieren.

Bin leider gleich bis Anfang nächster Woche (fast nur) offline...

Gruß,
Oswald
User avatar
Oswald
Apache Friends
 
Posts: 2718
Joined: 26. December 2002 19:51
Location: Berlin, Germany
Operating System: Linux

Postby HardySim » 03. September 2003 16:16

warum gibts bei mir den ordner net???
[url=http://www.hardysim.de]
Image[/url]
www.party-safari.net
User avatar
HardySim
 
Posts: 325
Joined: 19. June 2003 10:22
Location: Geisenheim

MOD_AUTH_MYSQL kann mit einem einfachen "/" umgang

Postby tromorow » 03. September 2003 19:28

Ausschnitte meiner httpd.conf:
Code: Select all
#LoadModule vhost_alias_module modules/mod_vhost_alias.so
LoadModule mysql_auth_module modules/mod_auth_mysql.so
LoadModule ssl_module modules/mod_ssl.so


Code: Select all
<IfModule mod_auth_mysql.c>
Include conf/mod_auth_mysql.conf
</IfModule>


meine mod_auth_mysql.conf:
Code: Select all
   <Location /restricted>
       AuthName "MySQL Secured Place"
       AuthType Basic
        require valid-user
        AuthMySQLHost localhost
        AuthMySQLDB webauth
        AuthMySQLUser testuser
       AuthMySQLPassword authmysql
        AuthMySQLUserTable user_pwd
       AuthMySQLNameField name
        AuthMySQLPasswordField pass
       AuthMySQLCryptedPasswords OFF
    </Location>
tromorow
 

MOD_AUTH_MYSQL kann mit einem einfachen "/" umgang

Postby tromorow » 12. September 2003 17:47

habt ihr jetzt meinen Fehler gefunden????
tromorow
 

Postby Benzman » 13. September 2003 16:16

Also ich würde sagen, dass das ein Problem vom Apache ist. Wenn man http://localhost//restricted im Browser eingibt, zeigt er zwar das gleiche an, wie wenn man http://localhost/restricted eingibt, aber wenn er dann in der httpd.conf nach <Location //restricted> sucht, denkt er wohl, dass //restricted und /restricted doch nicht das gleiche ist und überfliegt es einfach.

Und mit der .htaccess gibts das Problem nicht, ich habs selbst getestet.
User avatar
Benzman
 
Posts: 132
Joined: 27. July 2003 18:46
Location: Bayern

Ahhhh

Postby Jamalaka » 14. November 2003 16:27

Das ist ja Mist :evil: !
Bedeutet das das Mod_Auth_MySQL garnichts (gegen Insider) bringt :? :?: :!: :!:
Jamalaka
 

Postby Oswald » 14. November 2003 16:41

Huhu Jamalaka!

Also ich konnte das Problem von tromorow nicht bestätigen oder nachvollziehen. Leider kann ich aber auch nicht sagen wo sein Fehler war.

Lieben Gruß
Oswald
User avatar
Oswald
Apache Friends
 
Posts: 2718
Joined: 26. December 2002 19:51
Location: Berlin, Germany
Operating System: Linux

Postby Heini_net » 14. November 2003 16:46

nabend leutz..

also bei mir funzt mysql auth einwandfrei..

bei mir kann man weder mit / noch mit // ohne pw-anfrage reinkommen.
es ist also eine reine einstellungsfrage. :wink:


Mfg. Heini
User avatar
Heini_net
 
Posts: 520
Joined: 25. July 2003 15:43
Location: hier


Return to Apache

Who is online

Users browsing this forum: No registered users and 3 guests