+ Antworten
Ergebnis 1 bis 3 von 3

Thema: PHP Skript vor unbefugtem triggern schützen!

  1. #1
    Neu an Board
    Registriert seit
    27.09.2006
    Beiträge
    22
    Bedankte sich
    3
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard PHP Skript vor unbefugtem triggern schützen!

    Hallo zusammen,
    ich habe ein php Skript über den ich mir Daten aus einem Privaten Netzwerk hole, dieser php Skript wird über ein JavaScript welcher in ein Joomla Modul eingebunden ist im Intervall getriggert.
    Der php Skript liegt aktuell auf einer Subdomain in welcher auch die über curl angeforderten Daten abgelegt werden und in Joomla verlinkt sind.
    Nun möchte ich aber nicht dass jemand durch den Aufruf von https://subdomain.example.org/skript.php den Skript triggern geschweigendem den Inhalt dessen einsehen kann.
    Hierzu habe ich in der Subdomain eine .htaccess mit folgendem Inhalt angelegt.

    Code:
    RewriteEngine On
    RewriteCond %{HTTPS} !=on
    RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
    RewriteCond %{HTTP_REFERER} !^https://example.org [NC]
    RewriteRule .* - [F]
    <Files "*.*">
    Deny from all
    </Files>
    <FilesMatch "\.(joson|jpg|xml|php)$">
    Allow from all
    </FilesMatch>
    Das ganze funktioniert leider nicht aus Firmen Netzwerken heraus, hier wird das php Skript nicht mehr getriggert und ich bekomme den Fehler 403. Ist das wegen den Proxys??
    Wenn ich natürlich die zweite RewriteRule/Cond heraus nehme funktioniert das triggern wieder, jedoch halt auch über den Browser Aufruf von https://subdomain.example.org/skript.php

    Ihr seht wahrscheinlich schon dass das alles für mich absolutes Neuland ist und ich wenig Ahnung von der Materie habe,
    deshalb die Frage an euch Profis – Wie würdet ihr so etwas angehen und umsetzen?
    Geändert von traumspiel (16.05.2019 um 09:59 Uhr)

  2. #2
    Gehört zum Inventar Avatar von Re:Later
    Registriert seit
    21.04.2014
    Ort
    Berlin
    Beiträge
    5.808
    Bedankte sich
    156
    Erhielt 2.259 Danksagungen
    in 2.026 Beiträgen

    Standard

    Kannst doch leichter in die skript.php die Konditionen einbauen. PHPs $_SERVER bietet doch die selben Möglichkeiten, vielleicht sogar mehr. Und du kannst sie leichter debuggen.

    Man kann natürlich auch den Weg über die Access-Logs des Servers gehen, wo man dann den Referrer der Aufrufe sehen kann.
    Joomlafachmann: https://www.ghsvs.de

  3. #3
    Neu an Board
    Registriert seit
    27.09.2006
    Beiträge
    22
    Bedankte sich
    3
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard

    Hi Later,

    vielen dank für den Hinweis!

    Jetzt weiß ich sicher das die Anfrage von der Proxy IP kommt und nicht über die Domäne https://example.org.
    Somit kann ich die Regel
    Code:
    RewriteCond %{HTTP_REFERER} !^https://example.org [NC]
    RewriteRule .* - [F]
    nicht verwenden da das triggern des Skripts von überall möglich sein soll jedoch nicht als direkt aufrufe von https://subdomain.example.org/skript.php.

    Ist mein vorhaben denn überhaupt umsetzbar und auch sinnig/realistisch?
    Wie gesagt ich kenne mich 0,0 damit aus und mache gerade die ersten Gehversuche.

    Edit:
    Nur so ein Gedankengang...
    Würde es gehen und sinn machen ein dummy.php z.B in Joomla/media mit dem folgenden Inhalt anzulegen und die dummy.php vom JavaSkript triggern zu lassen?
    PHP-Code:
    include '../homepages/19/d34037419/htdocs/subdomain/Skript.php'
    Geändert von traumspiel (16.05.2019 um 11:55 Uhr)

+ Antworten

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein