Entwickler Magazin 4.2011 - Scanner für das Web

Anleitung zum VMware-Image

Das VMware-Image wurde mit ähnlichen Skripten bereits für die Demos zu den Artikeln im PHP User und PHP Magazin verwendet. Für Leser dieser Magazine ist es also ein "alter Bekannter".

Die Linux-Installation

Es gibt 2 Benutzer: root mit dem Passwort root und testuser mit dem Passwort testuser. Sämtliche Einstellungen wurden unverändert übernommen, d.h.: Das System ist in keiner Weise besonders abgesichert.

Für MySQL wurden ebenfalls 2 Benutzer angelegt: root mit dem Passwort root und phpuser mit dem Passwort phpuser.

phpMyAdmin finden Sie unter /phpmyadmin.

Die IP-Adresse wurde fest auf 192.168.68.132 eingestellt.

Die Demo-Skripte

Die Skripte liefern in zwei Fällen einen MySQL-Fehler: Beim Registrieren eines neuen Benutzers und beim Anlegen eines neuen Autors. Der Einfachheit Halber erfolgt dabei im Skript zur Zeit keine Prüfung, ob der gewünschte Benutzername bereits existiert. Da der eindeutig sein muss, wird der Versuch, einen neuen Eintrag mit bereits vorhandenem Benutzernamen anzulegen, mit der Fehlermeldung
MySQL-Fehler: 1062: Duplicate entry 'Benutzername' for key 'Benutzer_Name'
quittiert. In dem Fall verwenden Sie einfach einen anderen Benutzernamen, sofern sie wirklich mehrere zusätzliche Benutzer anlegen möchten.

Wenn Sie die Skripte auf ihrem eigenen Server testen möchten, müssen Sie den dafür äußerst unsicher konfigurieren: register_globals, allow_url_fopen und allow_url_include müssen eingeschaltet sein. Auf so einen Server sollte besser nicht aus dem Internet zugegriffen werden können.
Alternativ kann im Skript index.php die auskommentiert Zeile

// $rfi      = $_REQUEST["rfi"];

aktiviert und auf das Einschalten von register_globals verzichtet werden. Das Einschalten von allow_url_fopen und allow_url_include sind aber trotzdem notwendig, da sonst keine Remote File Inclusion möglich ist (Local File Inclusion funktioniert unabhängig davon und ist auch mit dem Parameter rfi möglich.