Sikkerhetshull hos webhost?

[arnthelge]

Jeg har 2 webhotell hos en webhost. Jeg har programmert begge sidene med PHP.

 

Ved en tilfeldighet oppdaget jeg at jeg kunne lese filer mellom webområdene.

 

Er det normalt at man skal kunne liste opp mapper og filer på serveren utenfor eget webområde?

 

Med følgende skript kan jeg lese alle mappene serveren (innkludert systemmapper utenfor webområdene) Dermed kan jeg lese kildekoden til andre sine websider og veldig lett hente ut login data for mysql databasene.

 

<?php
if(!isset($_GET['curPath']))
 $_GET['curPath'] = "/";  	

echo "CurPath: " . $_GET['curPath'] . "<br><br>";

$d = dir($_GET['curPath']);
while (false !== ($entry = $d->read())) {
   	echo "<a href=\"test.php?curPath=" . $_GET['curPath'] . "/" . $entry . "\">" . $entry ."</a><br>\n";
}
$d->close();
?> 

Jeg mener dette må være et grovt sikkerhetshull, men da jeg kontaktet webhosten og ba om en forklaring, så sa dem at det var slik det skulle fungere.

 

Det kan da ikke være riktig at jeg med PHP skal ha muligheten til å lese andre filer og mapper utenfor mitt webområde?

 

Med vennlig hilsen,

Arnt Helge Håland