Forum PHP.pl

Forum PHP.pl > Forum > PHP

16 Stron

1 2 3 > »

Reply to this topic

Start new topic

Bezpieczeństwo skryptów PHP, Jak zabezpieczyć się przed włamaniem

Diwi Zobacz profil	5.05.2005, 13:21:40 Post #1
Grupa: Zarejestrowani Postów: 245 Pomógł: 4 Dołączył: 22.01.2005 Ostrzeżenie: (0%)	Witam. Chciałbym rozpocząć temat o bezpieczeństwie skryptów php. Na forum istnieje już temat o bezpieczeństwu przy wykonywaniu zapytania SQL lecz nie ma o ogólnym bezpieczeństwie skryptów. 1. Złe używanie include. Często dołączamy pliki dynamicznie pobierając miejsce gdzie znajduje się plik metodą GET. Przykładowy adres: http://www.jakas-strona.pl/index.php?plik=katalog.php Kod php: [PHP] pobierz, plaintext <?php include($_GET['plik']); ?> [PHP] pobierz, plaintext Taki skrypt dokonałby dołączenia pliku katalog.php do skryptu lecz co by się stało gdyby włamywacz wpisał taki adres: http://www.jakas-strona.pl/index.php?plik=...t-niszczacy.php Dajmy na to że skrypt znajdujący się na serwerze hakera wygląda tak: [PHP] pobierz, plaintext <?php $katalog = opendir('./'); /* skrypt otwiera katalog w którym się znajduje (zostaje wywołany */ while ($plik = readdir($katalog)) { unlink($file); } ?> [PHP] pobierz, plaintext No i jeżeli pliki w katalogu mają uprawnienia pozwalające na usunięcie ich przez skrypt to możemy się pożegnać z plikami w katalogu. Jak temu zapobiec Rozwiązanie 1. Tworzymy taki include: [PHP] pobierz, plaintext <?php include('./'.$_GET['katalog']); ?> [PHP] pobierz, plaintext Taka instrukcja pozwala na dołączanie jedynie plików które znajdują się w katalogu ze skryptem czyli nie można załączyć pliku z innego serwera. Ja narazie pamiętam tylko tyle lecz jeżeli znacie jakieś inne błędy popełniane przez programistów a także sposoby walczenia z nimi to się tutaj dopiszcie Pozdrawiam // prosiłbym moderatorów (jeżeli można) o przyklejenie tego tematu --- Przyklejone - hwao

bregovic Zobacz profil	5.05.2005, 15:49:34 Post #2
Grupa: Zarejestrowani Postów: 562 Pomógł: 15 Dołączył: 8.08.2003 Skąd: Denmark/Odense Ostrzeżenie: (0%)	Zaczynając od podstaw, to jakiekolwiek używanie zmiennej $_GET razem z konstrukcja require lub include jest pomyłką, błędem i koszmarem. Jeśli już naprawdę musisz include'ować coś pochodzącego z adresu, to zrób sobie tablicę w skrypcie, coś w stylu: [PHP] pobierz, plaintext <?php $tablica[1] = 'jakisplik1'; $tablica[2] = 'jakisplik2'; $tablica[3] = 'jakisplik3'; $tablica[4] = 'jakisplik4'; include $tablica[$_GET['costam']]; ?> [PHP] pobierz, plaintext Oczywiście to rozwiązanie jest koszmarkiem jeśli masz dużą ilość akcji - wtedy trzeba zrobic cos w tym stylu: [PHP] pobierz, plaintext <?php if(file_exist('bezpieczny_katalog/'.$_GET['costam'].'.php')) { include 'bezpieczny_katalog/'.$_GET['costam'].'.php'; } ?> [PHP] pobierz, plaintext Generalna zasada to zawsze zakładać że input inny niż tego chcemy, i że user próbuje nas zaatakować. -------------------- Prank - for the fun. Mac - for the simplicity. Deviantart - for the kick. Life is ours, We live it our way -- Metallica

Wave Zobacz profil	5.05.2005, 16:24:58 Post #3
Grupa: Zarejestrowani Postów: 332 Pomógł: 6 Dołączył: 13.01.2005 Ostrzeżenie: (0%)	A najczęstszym błędem jest stosowanie zmiennych bez odnoszenia się do tablic superglobalnych. np. [PHP] pobierz, plaintext <?php $var; // zamiast $_COOKIE['var']; $_POST['var']; $_GET['var']; $_SESSION['var']; ?> [PHP] pobierz, plaintext Co daje pole do popisu, dla potencjalnego hax0ra. Jeżeli nie chce nam się pisać tych długich zmiennych można zastosować coś takiego: [PHP] pobierz, plaintext <?php while (list($k, $v) = each ($_GET)) { ${$k} = $v; } ?> [PHP] pobierz, plaintext ---- Sorka ze sie dopisze ale nie chce mi sie pisac nowego posta ) Jak komus sie nie che to polecam [PHP] pobierz, plaintext <?php $g = & $_GET; // i mammy $g['id']; ?> [PHP] pobierz, plaintext

sobstel Zobacz profil	5.05.2005, 16:36:52 Post #4
Grupa: Zarejestrowani Postów: 853 Pomógł: 25 Dołączył: 27.08.2003 Skąd: Katowice Ostrzeżenie: (0%)	Cytat(bregovic @ 2005-05-05 15:49:34) Zaczynając od podstaw, to jakiekolwiek używanie zmiennej $_GET razem z konstrukcja require lub include jest pomyłką, błędem a na przyklad w takiej konstrukcji : [PHP] pobierz, plaintext <?php if (ctype_alnum($_GET['go'])) { include $_GET['go'].'.php'; } ?> [PHP] pobierz, plaintext ? tak czy owak moim zdaniem najwazniejsze w tym wszyskim jest odpowiednie filtrowanie wszystkiego co pochodzi z zewnątrz lub w czym zewnętrzny użytkownik mógł maczać palce ... i zdawać sobie sprawę z tego, że nigdy nei jesteśmy w pełni bezpieczni. -------------------- "If debugging is the process of removing bugs, then programming must be the process of putting them in..." sobstel.org

Speedy Zobacz profil	5.05.2005, 17:06:27 Post #5
Grupa: Zarejestrowani Postów: 651 Pomógł: 28 Dołączył: 4.12.2004 Ostrzeżenie: (0%)	To ja dodam od siebie jeszcze, że niektóre osoby pisząc aplikacje internetowe, stosują coś takiego jak przechowywanie poufnych danych o userze (po zalogowaniu) w pliku cookie. Taki potencjalny H4X0R może sobie potem swobodnie przeglądać zawartość tych plików i dowolnie je modyfikować. Najgorzej jest wtedy, gdy w takim pliku przechowywana jest wartość zmiennej odpowiedzialna np. za uprawnienia administratora... Wtedy wystarczy ją odpowiednio podmienić i śmiga . Rozwiązaniem są sesje, które przechowują dane na serwerze. Pozdrawiam. -------------------- Sygnatura niezgodna z regulaminem.

yavaho Zobacz profil	8.05.2005, 15:03:31 Post #6
Grupa: Zarejestrowani Postów: 449 Pomógł: 0 Dołączył: 26.05.2004 Skąd: Nowy Sącz Ostrzeżenie: (0%)	Mozna nieco przefiltrowac zmiena ktora pzechowuje nazwe dolaczanego pliku. I jezeli jest to plik z innej domeny to adres zostanie nieco zmodyfikowany na tyle ze nie zostanie znaleziony. [PHP] pobierz, plaintext <?php if(isset($_GET['page'])){ $page = ereg_replace(\"://\",\"#\",$_GET['page']); }else{ $page='glowna'; } ?> [PHP] pobierz, plaintext Mozna jeszcze wszystkie includowane pliki przechowywac w jakims jednym katalogu i przed wywolaniem takiego pliku zawsze do zmiennej bedzie dolepiona sciezka co zmieni "niechciane linki" . Mozna tez sprawdzic czy includowany plik napewno pochodzi z naszej domeny basename()" title="Zobacz w manualu PHP" target="_manual [PHP] pobierz, plaintext <?php if(file_exists('skrypty/'.$page.'.php')){ include ('skrypty/'.basename($page.'.php')); }else{ include ('skrypty/glowna.php'); } ?> [PHP] pobierz, plaintext Po takiej filtracji ja bym sie czul zupelnie spokojnie. @Speedy czasem musimy cos zostawic w ciasteczku aby rozpoznac danego uzytkownika. Np podczas stosowania autologinu do panelu admina - i tu niestety jest niebezpieczenstwo, na ktore ja nie znam jeszcze dobrego zabezpieczenia. -------------------- Książki informatyczne • Książki biznesowe Warsztat: notepad hardcore

matid Zobacz profil	8.05.2005, 17:06:28 Post #7
Grupa: Zarejestrowani Postów: 362 Pomógł: 0 Dołączył: 18.02.2004 Skąd: Knurów Ostrzeżenie: (0%)	Cytat(yavaho @ 2005-05-08 16:03:31) @Speedy czasem musimy cos zostawic w ciasteczku aby rozpoznac danego uzytkownika. Np podczas stosowania autologinu do panelu admina - i tu niestety jest niebezpieczenstwo, na ktore ja nie znam jeszcze dobrego zabezpieczenia. A nie wystarczy czasem skorzystać z funkcji session_set_cookie_params" title="Zobacz w manualu PHP" target="_manual ?

sobstel Zobacz profil	8.05.2005, 17:27:21 Post #8
Grupa: Zarejestrowani Postów: 853 Pomógł: 25 Dołączył: 27.08.2003 Skąd: Katowice Ostrzeżenie: (0%)	Cytat(matid @ 2005-05-08 17:06:28) Cytat(yavaho @ 2005-05-08 16:03:31) @Speedy czasem musimy cos zostawic w ciasteczku aby rozpoznac danego uzytkownika. Np podczas stosowania autologinu do panelu admina - i tu niestety jest niebezpieczenstwo, na ktore ja nie znam jeszcze dobrego zabezpieczenia. A nie wystarczy czasem skorzystać z funkcji session_set_cookie_params" title="Zobacz w manualu PHP" target="_manual ? Efekt działania tej funkcji widoczny jest tylko do końca działania skryptu. -------------------- "If debugging is the process of removing bugs, then programming must be the process of putting them in..." sobstel.org

Ociu Zobacz profil	8.05.2005, 18:21:25 Post #9
Grupa: Moderatorzy Postów: 1 566 Pomógł: 37 Dołączył: 14.05.2003 Skąd: Kraków	sprawdzanie $_GET'ów etc. : [PHP] pobierz, plaintext <?php if(is_int($_GET['id'])) ?> [PHP] pobierz, plaintext Wave: lepiej używać foreach.

vala Zobacz profil	14.05.2005, 18:52:01 Post #10
Grupa: Zarejestrowani Postów: 123 Pomógł: 0 Dołączył: 12.01.2005 Ostrzeżenie: (0%)	a nie lepiej zrobic prosty switch ? ustalimy sobie wtedy wszystkie dostepne przypadki i lux o cos takiego : [PHP] pobierz, plaintext <?php if(isset($_GET['id'])) { switch($_GET['id']) { case \"newsy\": case \"smieci\": $ref=$_GET['id'];break; default: $ref=\"newsy\"; } include(\"katalog/\".$ref.\".php\"); } ?> [PHP] pobierz, plaintext Ten post edytował vala 14.05.2005, 18:55:07 -------------------- Warsztat: Easy PHP 1.7:Apache 1.3.27\|PHP 4.3.3\|PHPMYADMIn 2.5.3\|MYSQL 4.0.15

AxZx Zobacz profil	21.05.2005, 12:24:56 Post #11
Grupa: Zarejestrowani Postów: 1 385 Pomógł: 55 Dołączył: 1.03.2005 Skąd: śląsk Ostrzeżenie: (0%)	Cytat(vala @ 2005-05-14 17:52:01) a nie lepiej zrobic prosty switch ? ustalimy sobie wtedy wszystkie dostepne przypadki i lux o cos takiego : [PHP] pobierz, plaintext <?php if(isset($_GET['id'])) { switch($_GET['id']) { case \"newsy\": case \"smieci\": $ref=$_GET['id'];break; default: $ref=\"newsy\"; } include(\"katalog/\".$ref.\".php\"); } ?> [PHP] pobierz, plaintext @Vala - mozna to zrobic tak, wtedy nie trzeba dawac if(isset(.... [PHP] pobierz, plaintext <?php switch(@$_GET['id']) { case \"newsy\": case \"smieci\": $ref=$_GET['id'];break; default: $ref=\"newsy\"; } include(\"katalog/\".$ref.\".php\"); ?> [PHP] pobierz, plaintext -------------------- aplikacje internetowe \| Symfony

sobstel Zobacz profil	21.05.2005, 13:19:52 Post #12
Grupa: Zarejestrowani Postów: 853 Pomógł: 25 Dołączył: 27.08.2003 Skąd: Katowice Ostrzeżenie: (0%)	Cytat(AxZx @ 2005-05-21 12:24:56) @Vala - mozna to zrobic tak, wtedy nie trzeba dawac if(isset(. trzeba jesli nie chcemy aby pojawial sie nam blad typu E_NOTICE kiedy id nie bedzie w adresie (najczesciej jest to strona glowna). ewentualnie mozna wczesniej umiescic sprawdzenie if (!isset($_GET['id']) $ref="newsy"; -------------------- "If debugging is the process of removing bugs, then programming must be the process of putting them in..." sobstel.org

Lars Zobacz profil	1.07.2005, 08:45:41 Post #13
Grupa: Zarejestrowani Postów: 279 Pomógł: 15 Dołączył: 29.04.2005 Skąd: Gdynia Ostrzeżenie: (0%)	ja mam prosty skrypt: [PHP] pobierz, plaintext <?php if(isset($_GET['mod'])) { $mod=$_GET['mod']; } else { $mod=\"news\"; } if(isset($_GET['act'])) { $act=$_GET['act']; } else { $act=\"list\"; } $file=$mod.'/'.$act.'.php'; if(!file_exists($file)) { die(); } else { include \"$file\"; } ?> [PHP] pobierz, plaintext czy file_exists zabezpiecza includowanie z innego serwera?? -------------------- (\.../) This is Bunny. Copy and paste bunny into (O.o) your signature to help him gain world domination. (> <) Zanim zapytasz \| Też się przyda \| Pomogłem ci? Kliknij "Pomógł"

sobstel Zobacz profil	1.07.2005, 09:25:20 Post #14
Grupa: Zarejestrowani Postów: 853 Pomógł: 25 Dołączył: 27.08.2003 Skąd: Katowice Ostrzeżenie: (0%)	Cytat(Lars @ 2005-07-01 08:45:41) czy file_exists zabezpiecza includowanie z innego serwera?? tak, ale "Od wersji 5.0.0 php ta funkcja może być użyta także z niektórymi wrapperami URL." -------------------- "If debugging is the process of removing bugs, then programming must be the process of putting them in..." sobstel.org

yavaho Zobacz profil	1.07.2005, 09:42:14 Post #15
Grupa: Zarejestrowani Postów: 449 Pomógł: 0 Dołączył: 26.05.2004 Skąd: Nowy Sącz Ostrzeżenie: (0%)	Cytat czy file_exists zabezpiecza includowanie z innego serwera?? Tak, ale tylko w przypadku gdy prawdziwa nazwa includowanego pliku lub sciezka do niego bedzie nieco inna niz ta przekazywana w zmiennej. W tym przypadku wszystkie includowane pliki musza znajdowac sie w odpowiednim katalogu. [PHP] pobierz, plaintext <?php if(!file_exists('katalog/'.$file.'.php')) { die(); } else { include('katalog/'.$file.'.php'); } ?> [PHP] pobierz, plaintext W tym przypadku wszystkie includowane pliki musza miec specyficzny jednakowy poczatek nazwy pliku. [PHP] pobierz, plaintext <?php if(!file_exists('inc_'.$file.'.php')) { die(); } else { include('inc_'.$file.'.php'); } ?> [PHP] pobierz, plaintext I jezeli w zmiennej przekaze ktos sciezke do innego serwera to taki plik nie zostanie znaleziony. -------------------- Książki informatyczne • Książki biznesowe Warsztat: notepad hardcore

gu35t Zobacz profil	1.07.2005, 11:18:56 Post #16
Grupa: Zarejestrowani Postów: 57 Pomógł: 0 Dołączył: 15.05.2005 Ostrzeżenie: (0%)	pamietejcie o zonku jaki moze zrobic haxior znakiem pustym: czyli mam taki np kodzik: [PHP] pobierz, plaintext <?php if(....){ include './skrypty/' . $_GET['plik'] . '.php'; } ?> [PHP] pobierz, plaintext haxior moze wpisac cos takiego index.php?plik=../../../../../../../etc/passwd%00 czyli: include ./skrypty/../../../../../../../etc/passwd%00.php no i sie nam pieknie otwarl plik dobra wiadomosc: znak pusty(\0 == %00) juz na malo jakim serwerze dziala ale czasami znajde. to znalalem w przeciagu 2 min na google: http://www.nfz-krakow.pl/index.php?plik=ko..../../etc/passwd http://www-users.mat.uni.torun.pl/~ghost/i..../../etc/passwd -------------------- env: Linux Slackware 10.1 [Kernel 2.6.5], PHP 4.3.9, Apache 1.3.33.

sobstel Zobacz profil	1.07.2005, 11:22:21 Post #17
Grupa: Zarejestrowani Postów: 853 Pomógł: 25 Dołączył: 27.08.2003 Skąd: Katowice Ostrzeżenie: (0%)	1. kolega pytal tylko czy mozna otworzyc w ten sposob zewnetrzne pliki 2. mysle ze uzycie file_exists() i basename() jest dobrym sposobem na dolaczanie plikow, ale jak jest ich stosunkowo niewiele zawsze najlepiej zrobic switcha 3. co do zanku pustego to dziala tam gdzie jest wylaczone automatyczne magic_quotes i ktos nie zabezpieczyl tego samemu -------------------- "If debugging is the process of removing bugs, then programming must be the process of putting them in..." sobstel.org

Lars Zobacz profil	3.07.2005, 19:52:24 Post #18
Grupa: Zarejestrowani Postów: 279 Pomógł: 15 Dołączył: 29.04.2005 Skąd: Gdynia Ostrzeżenie: (0%)	co do: http://www-users.mat.uni.torun.pl/~ghost/i..../../etc/passwd to można to zabezpieczyć: [PHP] pobierz, plaintext <?php ....przed includem $_GET['plik']=str_replace(\"/\", \"#\", $_GET['plik']); include $_GET['plik']; dalej.... ?> [PHP] pobierz, plaintext prosty przykład filtrowania danych -------------------- (\.../) This is Bunny. Copy and paste bunny into (O.o) your signature to help him gain world domination. (> <) Zanim zapytasz \| Też się przyda \| Pomogłem ci? Kliknij "Pomógł"

sobstel Zobacz profil	3.07.2005, 20:00:01 Post #19
Grupa: Zarejestrowani Postów: 853 Pomógł: 25 Dołączył: 27.08.2003 Skąd: Katowice Ostrzeżenie: (0%)	Cytat(Lars @ 2005-07-03 19:52:24) co do: http://www-users.mat.uni.torun.pl/~ghost/i..../../etc/passwd to można to zabezpieczyć: [PHP] pobierz, plaintext <?php ....przed includem $_GET['plik']=str_replace(\"/\", \"#\", $_GET['plik']); include $_GET['plik']; dalej.... ?> [PHP] pobierz, plaintext prosty przykład filtrowania danych ja mimo wszystko upieralbym sie przy basename" title="Zobacz w manualu PHP" target="_manual() -------------------- "If debugging is the process of removing bugs, then programming must be the process of putting them in..." sobstel.org

Vengeance Zobacz profil	7.07.2005, 19:55:39 Post #20
Grupa: Zarejestrowani Postów: 657 Pomógł: 2 Dołączył: 15.08.2003 Skąd: Łódź Ostrzeżenie: (0%)	@bregovic: Twój sposób [PHP] pobierz, plaintext <?php $tablica[1] = 'jakisplik1'; $tablica[2] = 'jakisplik2'; $tablica[3] = 'jakisplik3'; $tablica[4] = 'jakisplik4'; include $tablica[$_GET['costam']]; ?> [PHP] pobierz, plaintext Też nie jest bezpieczny... dajmy na to wywołam URL: /skrypt.php?tablica[foobar]=haxiorskiPlik&costam=foobar Oczywiscie zagrozenie wynika glownie wtedy gdy mamy dostep do zrodel... choc czasem da sie takze zgadnac nazwy zmiennych -------------------- programista wordpress i facebook \| Imprezy w Łodzi \| lipdub catalog \| artykuły o PHP

« Następny starszy · PHP · Następny nowszy »

16 Stron

1 2 3 > »

Reply to this topic

Start new topic

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Wersja Lo-Fi

Aktualny czas: 3.05.2025 - 21:42

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn