4
SetHandler: Welche gibt es? Welche sind Sicherheitsrelevant?
Hallo,
ich habe bei einem Hoster festgestellt, dass man mittels einer .htaccess mit Einsicht in den Cache des LDAP Moduls bekommen kann und so sehen kann, gegen welche LDAP Server/DNs die anderen Kunden so authentifizieren...
Soweit so normal, ist ja dokumentiert. Ist aber vielleicht etwas, das auf einem Webspace für mehrere Kunden verhindert werden sollte.
Aus Neugier habe ich versucht, andere Handler zu finden, welche funktionieren. Insbesondere natürlich solche, welche sicherheitsrelevant sein könnten.
Dabei ist mir aufgefallen, dass ich überhaupt keine Übersicht finde, welche Handler es gibt, was sie tun, und welche man besser nicht öffentlich freigeben sollte.
Natürlich kann man die Apache Doku zu jedem Modul lesen und darin finden, ob entsprechende Handler existieren, aber das ist sehr mühselig.
Hat jemand von Euch eine Ähnliche Erfahrung gemacht und vielleicht eine Liste, oder eine Idee, wie man da einfacher ans Ziel kommt?
Besten Dank!
ich habe bei einem Hoster festgestellt, dass man mittels einer .htaccess mit
SetHandler ldap-statusSoweit so normal, ist ja dokumentiert. Ist aber vielleicht etwas, das auf einem Webspace für mehrere Kunden verhindert werden sollte.
Aus Neugier habe ich versucht, andere Handler zu finden, welche funktionieren. Insbesondere natürlich solche, welche sicherheitsrelevant sein könnten.
Dabei ist mir aufgefallen, dass ich überhaupt keine Übersicht finde, welche Handler es gibt, was sie tun, und welche man besser nicht öffentlich freigeben sollte.
Natürlich kann man die Apache Doku zu jedem Modul lesen und darin finden, ob entsprechende Handler existieren, aber das ist sehr mühselig.
Hat jemand von Euch eine Ähnliche Erfahrung gemacht und vielleicht eine Liste, oder eine Idee, wie man da einfacher ans Ziel kommt?
Besten Dank!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 388753
Url: https://administrator.de/forum/sethandler-welche-gibt-es-welche-sind-sicherheitsrelevant-388753.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
4 Kommentare
Neuester Kommentar
Eine fertige Liste gibt es deshalb nicht weil jeder eigene Actions(Handler) erstellen kann
https://httpd.apache.org/docs/2.4/handler.html
Eine Liste aller am System verwendeten Handler kann man sich per Skript ausgeben lassen
https://serverfault.com/questions/181666/apache2-get-a-list-of-registere ...
Gruß speedlink
https://httpd.apache.org/docs/2.4/handler.html
Eine Liste aller am System verwendeten Handler kann man sich per Skript ausgeben lassen
https://serverfault.com/questions/181666/apache2-get-a-list-of-registere ...
Gruß speedlink
Danke,
dass die Liste nicht vollständig sein kann verstehe ich.
Das mit dem Skript hilft mir aber leider nicht. Zum Einen, weil ich Kunde bin und nicht die Serverkonfiguration parsen kann, und zum Anderen, weil das ja nur die Handler listet die aktiv irgendwo gesetzt sind. Das "SetHandler ldap-status" kann ich ja aber auch einfach nutzen, ohne dass das irgendwo in einer Konfiguration auftauchen würde.
dass die Liste nicht vollständig sein kann verstehe ich.
Das mit dem Skript hilft mir aber leider nicht. Zum Einen, weil ich Kunde bin und nicht die Serverkonfiguration parsen kann, und zum Anderen, weil das ja nur die Handler listet die aktiv irgendwo gesetzt sind. Das "SetHandler ldap-status" kann ich ja aber auch einfach nutzen, ohne dass das irgendwo in einer Konfiguration auftauchen würde.
Zitat von @RoterFruchtZwerg:
Das mit dem Skript hilft mir aber leider nicht. Zum Einen, weil ich Kunde bin und nicht die Serverkonfiguration parsen kann, und
Dann wende dich an deinen Hoster.Das mit dem Skript hilft mir aber leider nicht. Zum Einen, weil ich Kunde bin und nicht die Serverkonfiguration parsen kann, und
zum Anderen, weil das ja nur die Handler listet die aktiv irgendwo gesetzt sind.
Nein, Handler die verwendet werden müssen auch definiert werden und die werden damit auch gefunden.Das "SetHandler ldap-status" kann ich ja aber auch einfach nutzen, ohne dass das irgendwo in einer Konfiguration auftauchen würde.
Die Default-Handler von Apache sind ja bekannt und lassen sich nachschlagen.Zitat von @137289:
Die Default-Handler von Apache sind ja bekannt und lassen sich nachschlagen.
Die Default-Handler von Apache sind ja bekannt und lassen sich nachschlagen.
Genau das ist doch meine Frage... "ldap-status" z.B. wird nur beiläufig in der Beschreibung von mod_ldap erwähnt:
Monitoring the Cache
mod_ldap has a content handler that allows administrators to monitor the cache performance. The name of the content handler is ldap-status
mod_ldap has a content handler that allows administrators to monitor the cache performance. The name of the content handler is ldap-status
Ich finde eben keine Übersicht sondern müsste die Beschreibung aller Module durchlesen und auf solche Hinweise prüfen, wobei auch unklar ist, ob diese immer enthalten wären...
Ich hatte gehofft dass es das übersichtlicher gibt. Schade...
