Hallo und guten Abend. Bernd Obermayr:
Also nicht script.cgi verarbeitet input, sondern script.cgi ruft ein weiteres script mit dem Parameter blablabla;rm -rf / auf.
Dieses zweite script sieht aber nur blablabla Das rm -rf / wird direkt von der Shell ausgefeuhrt
Erstmal eines vorweg: Wenn Listenuser, die ich für Kompetent halte, erklären, was ich da treibe, sei gefährlich, dann nehme ich das durchaus ernst. Bitte versteht es also nicht so, als wäre mir das alles egal oder ich würde euch nicht glauben. Ich bin sehr dankbar für die Erklärungen. Trotzdem möchte ich mich mit allgemein gehaltenen Gefährlichkeitserklärungen nicht zufrieden geben. Die nützen nicht, wenn ich nicht verstehe, wo die Lücke denn nun ist. Ich möchte euch daher bitten, sie mir zu erklären. Bernd: Ich habe deine Mail mal als Anregung genommen. Auf meinem "Intranet-Webserver" habe ich im $HOME/public_html von "ratti" immer die Dateien "probe.cgi" und "probe.pl" liegen, die nur ein "Hallo" ausgeben. Ist halt praktisch, ein funktionierendes cgi griffbereit zu haben, wenn man mal wieder geschraubt hat. ;-) Um gezielt "sabotieren" zu können, benutze ich keinen Browser, der meine Anforderung wohlmöglich selbst schon verändert, sondern telnet 192.168.0.1 http Ich teste natürlich auch nicht mit "rm -rf", sondern mit "ls" und "touch". Mit GET und POST habe ich nach folgendem Schema mehrere Dinge probiert: GET 192.168.0.1/~ratti/probe.pl ; touch ohgottogott.txt GET, POST, und auch "|" statt ";". Es ist mir nicht gelungen, irgendwas anzurichten. Verstehe ich was falsch, oder geht das doch gar nicht so? Gruß, Ratti -- http://www.gesindel.de | Fontlinge | Die Schriftenverwaltung für Windows