DevProTalk - Zaštita od hakovanja

DevProTalk (http://www.devprotalk.com/index.php)

- PHP (http://www.devprotalk.com/forumdisplay.php?f=9)

- - Zaštita od hakovanja (http://www.devprotalk.com/showthread.php?t=1779)

Citat:

Originalno napisao Ilija Studen

Ovo je jedno od onih "sipaš i ne misliš" rešenja. Strašno je jednostavno, a opet ga je teško oboriti.

A sta ako user posalje nesto tipa page = ../../../foo ? ladno ce taj fajl traziti ispod page dira o kome pricas. Sve u svemu, vrlo insecure.

>= PHP 5.1.0

//php.ini

Kôd:

allow_url_include = Off

edit:

a postoji i allow_url_fopen

hm, ja licno znam za taj allow_url_include. I nije meni problem da zastitim svoj kod protiv ovakvih napada. Stavise, nijedna moja skripta nije ranjiva na ovakav tip napada. Nego mene zanima kako da napravim skriptu koja moze se tako includuje preko url-a i da radi na server na kome je includovana :)

Pa napravis kao i svaku drugu skriptu, samo moras da joj promenis ekstenziju da tvoj server posalje php kod a da ga ne izvrsi. Ovaj drugi include-uje sors i izvrsi ga.

lele, a ja sam mislio to neki teski hack :D Sramota :) Thnx

Hehe..
Sto se tice zastite od rfi-a, sledece stvari su korisne da se podese kako
navedem sem ukoliko je neophodno za funkcionisanje skripte da se ne menja.

Za pocetak ako ti skripta moze bez, obavezno iskljuci potencijalno opasne funkcije:

Kôd:

disable_functions=system,exec,passthru,shell_exec

Ovime si onemogucio pokretanje php shell skripti (r57, c99..) i samim tim
ozbiljniju stetu na serveru, ali ako nisi u mogucnosti to da uradis, ali i ako
jesi, u svakom slucaju procitaj ceo post i preporucljivo je da poslusas. :)

Zatim nacin za zabranu pozivanja fajla van odredjenog direktorijuma se moze
odraditi sa array-om kao sto je navedeno na 1 strani, ali ako ne zelite tako,
mozda vam ovaj kod moze pomoci:

Kôd:

<?php

  $folder = 'moduli/';

  $ekst = '.php';

  $modul = str_replace(".","",$_GET["modul"]) 



  if ( file_exists($folder.$modul.$ekst) ) {

   $fajl = $folder.$modul.$ekst;

   include($fajl);

  } else {

  echo "404 Not found";

} 



?>

Postoji mogucnost da se uploaduje preko ovog koda i fajlovi koji
nisu sa .php ekstenzijom ali se nalaze u direktorijumu moduli/.
Primer:

Kôd:

http://www.serv.com/include.php?modul=nesto.txt?

# cime postaje: modul/nesto.txt?.php i zanemarena je .php ekstenzija,

# primer broj 2:

http://www.serv.com/include.php?modul=nesto.txt%00

# isto samo sto se ovime sav nastavak posle nesto.txt zanemaruje zbog

# null chara.

Za prosledjivanje vrednosti koristi $_POST umesto _request-a,
a $_get koristi samo tamo gde je namenjen, forsiraj post metod.
Zatim iskljuci register_globals i allow_url_fopen, i gledaj kod skripti :)
Preporucujem ti da pregledas security deo php manuala, dosta
ces nauciti o ovim napadima. Takodje se pozabavi sql injectionom,
daleko manje opasnim xss-om i komplikovanijimm csrf-om (ako je
manji projekat, csrf mozes zaobici, za sad :) ).

Ako imas dedicated onda ili unajmi nekog security experta da ti
podesi sistem kako i kada bi doslo do includeovanja php shell skripte
i dizanje nc-a da napadac ne moze da roota server, ali i redovno
skidaj patcheve za sve daemone/servise koje se vrte na tvoj boxu...

Nadam se da sam pomogao...

Citat:

Originalno napisao dinke

A sta ako user posalje nesto tipa page = ../../../foo ? ladno ce taj fajl traziti ispod page dira o kome pricas. Sve u svemu, vrlo insecure.

quickfix :)

PHP kôd:


		
			
$page = isset($_GET['page']) && strpos("../",$_GET['page']) === false ? $_GET['page'] : 'homepage';

ili instaliras mod_security :) Ono sto sve zive nervira, ali radi pos'o :)

ma bre Ilija sta fali tome da imas niz u kome pisu sve stranice koje je moguce inkludovati...ccc, sto ste bre toliko lenji...ova omladina, sve bi automatski :D

em je znatno sigurnije, em kad otvoris kod posle x meseci znas odmah koje strane se ukljucuju za koji ulazni parametar, bez da trazis po direktorijumima i tumacis mogucnosti...

jel to pokusavas da mi kazes da i ja trebam da stavim "old school" u svoj potpis ;) ?