Forum PHP.pl > Bezpieczeństwo skryptów PHP

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: Bezpieczeństwo skryptów PHP

Stron: 1, 2, 3, 4, 5, 6, 7

Diwi

5.05.2005, 13:21:40

Witam.

Chciałbym rozpocząć temat o bezpieczeństwie skryptów php. Na forum istnieje już temat o bezpieczeństwu przy wykonywaniu zapytania SQL lecz nie ma o ogólnym bezpieczeństwie skryptów.

1. Złe używanie include.

Często dołączamy pliki dynamicznie pobierając miejsce gdzie znajduje się plik metodą GET.

Przykładowy adres:
http://www.jakas-strona.pl/index.php?plik=katalog.php

Kod php:

[PHP] pobierz, plaintext 
<?php
include($_GET['plik']);
?>
[PHP] pobierz, plaintext

Taki skrypt dokonałby dołączenia pliku katalog.php do skryptu lecz co by się stało gdyby włamywacz wpisał taki adres:
http://www.jakas-strona.pl/index.php?plik=...t-niszczacy.php

Dajmy na to że skrypt znajdujący się na serwerze hakera wygląda tak:

[PHP] pobierz, plaintext 
<?php
 
$katalog = opendir('./'); /* skrypt otwiera katalog w którym się znajduje (zostaje wywołany */
 
while ($plik = readdir($katalog)) {
 
	  unlink($file);
 
}
 
?>
[PHP] pobierz, plaintext

No i jeżeli pliki w katalogu mają uprawnienia pozwalające na usunięcie ich przez skrypt to możemy się pożegnać z plikami w katalogu.

Jak temu zapobiec

Rozwiązanie 1.

Tworzymy taki include:

[PHP] pobierz, plaintext 
<?php
include('./'.$_GET['katalog']);
?>
[PHP] pobierz, plaintext

Taka instrukcja pozwala na dołączanie jedynie plików które znajdują się w katalogu ze skryptem czyli nie można załączyć pliku z innego serwera.

Ja narazie pamiętam tylko tyle lecz jeżeli znacie jakieś inne błędy popełniane przez programistów a także sposoby walczenia z nimi to się tutaj dopiszcie

Pozdrawiam

// prosiłbym moderatorów (jeżeli można) o przyklejenie tego tematu

---
Przyklejone - hwao

bregovic

5.05.2005, 15:49:34

Zaczynając od podstaw, to jakiekolwiek używanie zmiennej $_GET razem z konstrukcja require lub include jest pomyłką, błędem i koszmarem. Jeśli już naprawdę musisz include'ować coś pochodzącego z adresu, to zrób sobie tablicę w skrypcie, coś w stylu:

[PHP] pobierz, plaintext 
<?php
 
$tablica[1] = 'jakisplik1';
$tablica[2] = 'jakisplik2';
$tablica[3] = 'jakisplik3';
$tablica[4] = 'jakisplik4';
 
include $tablica[$_GET['costam']];
 
?>
[PHP] pobierz, plaintext

Oczywiście to rozwiązanie jest koszmarkiem jeśli masz dużą ilość akcji - wtedy trzeba zrobic cos w tym stylu:

[PHP] pobierz, plaintext 
<?php
 
 
if(file_exist('bezpieczny_katalog/'.$_GET['costam'].'.php'))
{
	include 'bezpieczny_katalog/'.$_GET['costam'].'.php';
}
 
?>
[PHP] pobierz, plaintext

Generalna zasada to zawsze zakładać że input inny niż tego chcemy, i że user próbuje nas zaatakować.

Wave

5.05.2005, 16:24:58

A najczęstszym błędem jest stosowanie zmiennych bez odnoszenia się do tablic superglobalnych.
np.

[PHP] pobierz, plaintext 
<?php
 
$var; // zamiast
$_COOKIE['var'];
$_POST['var'];
$_GET['var'];
$_SESSION['var'];
 
?>
[PHP] pobierz, plaintext

Co daje pole do popisu, dla potencjalnego hax0ra.
Jeżeli nie chce nam się pisać tych długich zmiennych można zastosować coś takiego:

[PHP] pobierz, plaintext 
<?php
 
while (list($k, $v) = each ($_GET)) {
${$k} = $v;
}
 
?>
[PHP] pobierz, plaintext

----
Sorka ze sie dopisze ale

nie chce mi sie pisac nowego posta

)

Jak komus sie nie che to polecam

[PHP] pobierz, plaintext 
<?php
$g = & $_GET;
// i mammy
$g['id'];
 
?>
[PHP] pobierz, plaintext

sobstel

5.05.2005, 16:36:52

Cytat(bregovic @ 2005-05-05 15:49:34)

Zaczynając od podstaw, to jakiekolwiek używanie zmiennej $_GET razem z konstrukcja require lub include jest pomyłką, błędem

a na przyklad w takiej konstrukcji :

[PHP] pobierz, plaintext 
<?php
 
if (ctype_alnum($_GET['go'])) {
  include $_GET['go'].'.php';
}
 
?>
[PHP] pobierz, plaintext

?

tak czy owak moim zdaniem najwazniejsze w tym wszyskim jest odpowiednie filtrowanie wszystkiego co pochodzi z zewnątrz lub w czym zewnętrzny użytkownik mógł maczać palce ... i zdawać sobie sprawę z tego, że nigdy nei jesteśmy w pełni bezpieczni.

Speedy

5.05.2005, 17:06:27

To ja dodam od siebie jeszcze, że niektóre osoby pisząc aplikacje internetowe, stosują coś takiego jak przechowywanie poufnych danych o userze (po zalogowaniu) w pliku cookie. Taki potencjalny H4X0R może sobie potem swobodnie przeglądać zawartość tych plików i dowolnie je modyfikować. Najgorzej jest wtedy, gdy w takim pliku przechowywana jest wartość zmiennej odpowiedzialna np. za uprawnienia administratora... Wtedy wystarczy ją odpowiednio podmienić i śmiga

.
Rozwiązaniem są sesje, które przechowują dane na serwerze.

Pozdrawiam.

yavaho

8.05.2005, 15:03:31

Mozna nieco przefiltrowac zmiena ktora pzechowuje nazwe dolaczanego pliku. I jezeli jest to plik z innej domeny to adres zostanie nieco zmodyfikowany na tyle ze nie zostanie znaleziony.

[PHP] pobierz, plaintext 
<?php
if(isset($_GET['page'])){
  $page = ereg_replace(&#092;"://\",\"#\",$_GET['page']);
}else{
  $page='glowna';
}
?>
[PHP] pobierz, plaintext

Mozna jeszcze wszystkie includowane pliki przechowywac w jakims jednym katalogu i przed wywolaniem takiego pliku zawsze do zmiennej bedzie dolepiona sciezka co zmieni "niechciane linki" . Mozna tez sprawdzic czy includowany plik napewno pochodzi z naszej domeny basename()" title="Zobacz w manualu PHP" target="_manual

[PHP] pobierz, plaintext 
<?php
if(file_exists('skrypty/'.$page.'.php')){
  include ('skrypty/'.basename($page.'.php'));
}else{
  include ('skrypty/glowna.php');
}
?>
[PHP] pobierz, plaintext

Po takiej filtracji ja bym sie czul zupelnie spokojnie.

@Speedy czasem musimy cos zostawic w ciasteczku aby rozpoznac danego uzytkownika. Np podczas stosowania autologinu do panelu admina - i tu niestety jest niebezpieczenstwo, na ktore ja nie znam jeszcze dobrego zabezpieczenia.

matid

8.05.2005, 17:06:28

Cytat(yavaho @ 2005-05-08 16:03:31)

@Speedy czasem musimy cos zostawic w ciasteczku aby rozpoznac danego uzytkownika. Np podczas stosowania autologinu do panelu admina - i tu niestety jest niebezpieczenstwo, na ktore ja nie znam jeszcze dobrego zabezpieczenia.

A nie wystarczy czasem skorzystać z funkcji session_set_cookie_params" title="Zobacz w manualu PHP" target="_manual ?

sobstel

8.05.2005, 17:27:21

Cytat(matid @ 2005-05-08 17:06:28)

Cytat(yavaho @ 2005-05-08 16:03:31)

A nie wystarczy czasem skorzystać z funkcji session_set_cookie_params" title="Zobacz w manualu PHP" target="_manual ?

Efekt działania tej funkcji widoczny jest tylko do końca działania skryptu.

Ociu

8.05.2005, 18:21:25

sprawdzanie $_GET'ów etc. :

[PHP] pobierz, plaintext 
<?php
if(is_int($_GET['id']))
?>
[PHP] pobierz, plaintext

Wave: lepiej używać foreach.

vala

14.05.2005, 18:52:01

a nie lepiej zrobic prosty switch ?
ustalimy sobie wtedy wszystkie dostepne przypadki i lux

o cos takiego :

[PHP] pobierz, plaintext 
<?php
 
 
if(isset($_GET['id']))
{
  switch($_GET['id'])
  {
   case &#092;"newsy\":  
   case &#092;"smieci\": $ref=$_GET['id'];break;
   
   default: $ref=&#092;"newsy\";
   
   }
   
  include(&#092;"katalog/\".$ref.\".php\");
 
}
 
 
?>
[PHP] pobierz, plaintext

AxZx

21.05.2005, 12:24:56

Cytat(vala @ 2005-05-14 17:52:01)

a nie lepiej zrobic prosty switch ?
ustalimy sobie wtedy wszystkie dostepne przypadki i lux

o cos takiego :

[PHP] pobierz, plaintext 
<?php
 
 
if(isset($_GET['id']))
{
  switch($_GET['id'])
  {
   case &#092;"newsy\":  
   case &#092;"smieci\": $ref=$_GET['id'];break;
   
   default: $ref=&#092;"newsy\";
   
   }
   
  include(&#092;"katalog/\".$ref.\".php\");
 
}
 
 
?>
[PHP] pobierz, plaintext

@Vala - mozna to zrobic tak, wtedy nie trzeba dawac if(isset(....

[PHP] pobierz, plaintext 
<?php
 
 
 
  switch(@$_GET['id'])
  {
   case &#092;"newsy\":  
   case &#092;"smieci\": $ref=$_GET['id'];break;
   
   default: $ref=&#092;"newsy\";
   
   }
   
  include(&#092;"katalog/\".$ref.\".php\");
 
 
 
 
 
?>
[PHP] pobierz, plaintext

sobstel

21.05.2005, 13:19:52

Cytat(AxZx @ 2005-05-21 12:24:56)

@Vala - mozna to zrobic tak, wtedy nie trzeba dawac if(isset(.

trzeba jesli nie chcemy aby pojawial sie nam blad typu E_NOTICE kiedy id nie bedzie w adresie (najczesciej jest to strona glowna). ewentualnie mozna wczesniej umiescic sprawdzenie if (!isset($_GET['id']) $ref="newsy";

Lars

1.07.2005, 08:45:41

ja mam prosty skrypt:

[PHP] pobierz, plaintext 
<?php
if(isset($_GET['mod'])) {
$mod=$_GET['mod'];
} else {
$mod=&#092;"news\";
}
 
if(isset($_GET['act'])) {
$act=$_GET['act'];
} else {
$act=&#092;"list\";
}
 
$file=$mod.'/'.$act.'.php';
 
if(!file_exists($file)) {
die();
} else {
include &#092;"$file\";
}
?>
[PHP] pobierz, plaintext

czy file_exists zabezpiecza includowanie z innego serwera??

sobstel

1.07.2005, 09:25:20

Cytat(Lars @ 2005-07-01 08:45:41)

czy file_exists zabezpiecza includowanie z innego serwera??

tak, ale "Od wersji 5.0.0 php ta funkcja może być użyta także z niektórymi wrapperami URL."

yavaho

1.07.2005, 09:42:14

Cytat

czy file_exists zabezpiecza includowanie z innego serwera??

Tak, ale tylko w przypadku gdy prawdziwa nazwa includowanego pliku lub sciezka do niego bedzie nieco inna niz ta przekazywana w zmiennej.

W tym przypadku wszystkie includowane pliki musza znajdowac sie w odpowiednim katalogu.

[PHP] pobierz, plaintext 
<?php
if(!file_exists('katalog/'.$file.'.php')) {
die();
} else {
include('katalog/'.$file.'.php');
}
?>
[PHP] pobierz, plaintext

W tym przypadku wszystkie includowane pliki musza miec specyficzny jednakowy poczatek nazwy pliku.

[PHP] pobierz, plaintext 
<?php
if(!file_exists('inc_'.$file.'.php')) {
die();
} else {
include('inc_'.$file.'.php');
}
?>
[PHP] pobierz, plaintext

I jezeli w zmiennej przekaze ktos sciezke do innego serwera to taki plik nie zostanie znaleziony.

gu35t

1.07.2005, 11:18:56

pamietejcie o zonku jaki moze zrobic haxior znakiem pustym:
czyli mam taki np kodzik:

[PHP] pobierz, plaintext 
<?php
if(....){
include './skrypty/' . $_GET['plik'] . '.php';
}
?>
[PHP] pobierz, plaintext

haxior moze wpisac cos takiego
index.php?plik=../../../../../../../etc/passwd%00
czyli:
include ./skrypty/../../../../../../../etc/passwd%00.php no i sie nam pieknie otwarl plik
dobra wiadomosc: znak pusty(\0 == %00) juz na malo jakim serwerze dziala ale czasami znajde.

to znalalem w przeciagu 2 min na google:
http://www.nfz-krakow.pl/index.php?plik=ko..../../etc/passwd
http://www-users.mat.uni.torun.pl/~ghost/i..../../etc/passwd

sobstel

1.07.2005, 11:22:21

1. kolega pytal tylko czy mozna otworzyc w ten sposob zewnetrzne pliki

2. mysle ze uzycie file_exists() i basename() jest dobrym sposobem na dolaczanie plikow, ale jak jest ich stosunkowo niewiele zawsze najlepiej zrobic switcha
3. co do zanku pustego to dziala tam gdzie jest wylaczone automatyczne magic_quotes i ktos nie zabezpieczyl tego samemu

Lars

3.07.2005, 19:52:24

co do: http://www-users.mat.uni.torun.pl/~ghost/i..../../etc/passwd

to można to zabezpieczyć:

[PHP] pobierz, plaintext 
<?php
....przed includem
 
$_GET['plik']=str_replace(&#092;"/\", \"#\", $_GET['plik']);
 
include $_GET['plik'];
 
dalej....
?>
[PHP] pobierz, plaintext

prosty przykład filtrowania danych

sobstel

3.07.2005, 20:00:01

Cytat(Lars @ 2005-07-03 19:52:24)

co do: http://www-users.mat.uni.torun.pl/~ghost/i..../../etc/passwd

to można to zabezpieczyć:

[PHP] pobierz, plaintext 
<?php
....przed includem
 
$_GET['plik']=str_replace(&#092;"/\", \"#\", $_GET['plik']);
 
include $_GET['plik'];
 
dalej....
?>
[PHP] pobierz, plaintext

prosty przykład filtrowania danych

ja mimo wszystko upieralbym sie przy basename" title="Zobacz w manualu PHP" target="_manual()

Vengeance

7.07.2005, 19:55:39

@bregovic:

Twój sposób

[PHP] pobierz, plaintext 
<?php
 
$tablica[1] = 'jakisplik1';
$tablica[2] = 'jakisplik2';
$tablica[3] = 'jakisplik3';
$tablica[4] = 'jakisplik4';
 
include $tablica[$_GET['costam']];
 
?>
[PHP] pobierz, plaintext

Też nie jest bezpieczny... dajmy na to wywołam URL:
/skrypt.php?tablica[foobar]=haxiorskiPlik&costam=foobar

Oczywiscie zagrozenie wynika glownie wtedy gdy mamy dostep do zrodel... choc czasem da sie takze zgadnac nazwy zmiennych

dr_bonzo

8.07.2005, 14:41:45

A wystarczy dodac
$tablica = array();
przed jej uzyciem i po klopocie.
A poza tym to bylo tylko

Cytat

to zrób sobie tablicę w skrypcie, coś w stylu

, pisane szybko i bez doglebnego zastanowienia

Lars

24.07.2005, 13:10:05

Jeżeli już trzeba zrobić coś takiego:

[PHP] pobierz, plaintext 
<?include $_GET['id'].'.php';?>
[PHP] pobierz, plaintext

to zawsze lepiej:

[PHP] pobierz, plaintext 
<?php
$file=$_GET['id'].'.php';
if(file_exists($file)) {
include $file;
} else {
echo 'Błąd 404';
}
?>
[PHP] pobierz, plaintext

Jest jeszcze coś takiego (działą tylko z rg=on).

Mamy kod:

[PHP] pobierz, plaintext 
<?php
<form action='ksiega.php' method='post'>
<input type='text' name='nick' value='twoj nick'>
<textarea name='tekst'>Twoj tekst</textarea>
<input type='submit' value='Wyslij'>
</form>
?>
[PHP] pobierz, plaintext

i plik ksiega.php:

[PHP] pobierz, plaintext 
<?php
$file=fopen('data.txt', a);
$zawartosc='<b>'.$nick.'</b><br>'.$tekst.'<br><br>';
fwrite($file, $zawartosc);
fclose($file);
echo 'OK. <a href=\"javascript:history.back()\">Wróć</a>';
?>
[PHP] pobierz, plaintext

jest tu bardzo wiele luk, m. in:

1. Możliwość wstawienia dowolnej długości nicka/tekstu
2. Umieszczanie kodu !!html!!
3. wpis danych przez ?nick=nick&tekst=txt
4. możliwość uszkodzenia pliku data.txt przez wpisywanie sie przez 2 osoby w tym samym momencie
5. użycie kodu php

jak je usunąć??

1. Użycie strlen" title="Zobacz w manualu PHP" target="_manual:

[PHP] pobierz, plaintext 
<?php
$file=fopen('data.txt', a);
$nick=stripslashes($nick);
$tekst=stripslashes($tekst);
if(strlen($nick>10)) {
die('Za długi nick');
} elseif(strlen($tekst>100)) {
die('Za długi tekst');
}
$zawartosc='<b>'.$nick.'</b><br>'.$tekst.'<br><br>';
fwrite($file, $zawartosc);
fclose($file);
echo 'OK. <a href=\"javascript:history.back()\">Wróć</a>';
?>
[PHP] pobierz, plaintext

2. Użycie strip_tags" title="Zobacz w manualu PHP" target="_manual:

[PHP] pobierz, plaintext 
<?php
$file=fopen('data.txt', a);
$nick=stripslashes($nick);
$tekst=stripslashes($tekst);
 
$nick=strip_tags($nick);
$tekst=strip_tags($tekst);
 
if(strlen($nick>10)) {
die('Za długi nick');
} elseif(strlen($tekst>100)) {
die('Za długi tekst');
}
$zawartosc='<b>'.$nick.'</b><br>'.$tekst.'<br><br>';
fwrite($file, $zawartosc);
fclose($file);
echo 'OK. <a href=\"javascript:history.back()\">Wróć</a>';
?>
[PHP] pobierz, plaintext

3. Zamiast $tekst/$nick używamy $_GET['tekst']/$_GET['nick']:

[PHP] pobierz, plaintext 
<?php
$file=fopen('data.txt', a);
$_GET['nick']=stripslashes($_GET['nick']);
$_GET['tekst']=stripslashes($_GET['tekst']);
$_GET['nick']=strip_tags($_GET['nick']);
$_GET['tekst']=strip_tags($_GET['tekst']);
 
if(strlen($_GET['nick']>10)) {
die('Za długi nick');
} elseif(strlen($_GET['tekst']>100)) {
die('Za długi tekst');
}
$zawartosc='<b>'.$_GET['nick'].'</b><br>'.$_GET['tekst'].'<br><br>';
fwrite($file, $zawartosc);
fclose($file);
echo 'OK. <a href=\"javascript:history.back()\">Wróć</a>';
?>
[PHP] pobierz, plaintext

4. Użycie flock" title="Zobacz w manualu PHP" target="_manual:

[PHP] pobierz, plaintext 
<?php
$file=fopen('data.txt', a);
$_GET['nick']=stripslashes($_GET['nick']);
$_GET['tekst']=stripslashes($_GET['tekst']);
flock($file, 2);
$_GET['nick']=strip_tags($_GET['nick']);
$_GET['tekst']=strip_tags($_GET['tekst']);
 
if(strlen($_GET['nick']>10)) {
die('Za długi nick');
} elseif(strlen($_GET['tekst']>100)) {
die('Za długi tekst');
}
$zawartosc='<b>'.$_GET['nick'].'</b><br>'.$_GET['tekst'].'<br><br>';
fwrite($file, $zawartosc);
flock($file, 3);
fclose($file);
echo 'OK. <a href=\"javascript:history.back()\">Wróć</a>';
?>
[PHP] pobierz, plaintext

5. To to samo co w punkcie 2

Vaticinator

16.09.2005, 11:21:56

A jest jakaś możliwość, żeby wybrane pliki dało się otwierać tylko poprzez include(), a nie bezpośrednio z przeglądarki?

sobstel

16.09.2005, 11:40:41

Cytat(Vaticinator @ 2005-09-16 11:21:56)

A jest jakaś możliwość, żeby wybrane pliki dało się otwierać tylko poprzez include(), a nie bezpośrednio z przeglądarki?

jest, na szybko przychodzą mi do glowy 2 sposoby :

1. umiescic pliki w jakims katalogu i zabezpieczyc plikiem .htaccess z odpowiednim wpisem (deny from all)
2. umiescic pliki powyzej public_html

bregovic

28.09.2005, 15:18:54

Cytat(Vaticinator @ 2005-09-16 11:21:56)

A jest jakaś możliwość, żeby wybrane pliki dało się otwierać tylko poprzez include(), a nie bezpośrednio z przeglądarki?

Plik includeujący:

[PHP] pobierz, plaintext 
<?php
 
define('x', true);
include 'lol.php';
 
?>
[PHP] pobierz, plaintext

Plik lol.php:

[PHP] pobierz, plaintext 
<?php
 
if(!x) die();
//reszta pliku
 
?>
[PHP] pobierz, plaintext

mike

21.11.2005, 00:18:04

W związku z ostatnim postem tutaj, który poruszał problem już omówiony postanowiłem trochę oczyścić ten wątek.

Kilka postów zostało usuniętych - zostały te które powinny zostać

Od tej chwili, proszę użytkowników zwłaszcza początkujących o czytanie tego wątku od początku a nie tylko dopisywanie się na końcu bez czytania całości tego wątku.

Czasem (a raczej często) rozwiązanie problemu jaki macie już padło. Warto poświęcić czas na odszukanie rozwiązania.

P.S.
To nie jest kącik lamerskich pytań

huntercs

1.03.2006, 10:50:25

Ja stosuję w sumie proste rozwiązanie, dodaje tylko strony do których użytkownik może wejść i tyle, jeżeli chce wejść na inną to jest przekierowany na str. główną

[PHP] pobierz, plaintext 
<?php
$Section=$_GET['Section'];
 
if($Section!='Main' &&
$Section!='Activate' &&
$Section!='Kolejna_strona' &&
$Section!='Inna_strona' &&
$Section!='Regulamin')
header("Location: ?Section=Main");
else include_once($Section.".php");
?>
[PHP] pobierz, plaintext

nospor

1.03.2006, 10:56:44

No ale poco trzeba pisac nazwe skryptu? Skoro i tak juz to oifowales, to daj identyfikator a nie nazwe. Po co ktoś ma wiedziec jakie masz skrypty?

mike

1.03.2006, 10:57:57

~huntercs możesz to zrobić bardziej elastycznie i elegancko:

[PHP] pobierz, plaintext 
<?php
 
$_GET[ 'Section' ] = ( empty( $_GET[ 'Section' ] ) ) ? 'Main' : '';
 
$arrAllowSection = array(
						  'Main'		=> 'Main.php',
						  'Activate'	=> 'Activate.php',
						  'Inna_strona' => 'Inna_strona.php',
						  'Regulamin'   => 'Regulamin.php'
						);
 
if( in_array( $_GET[ 'Section' ], $arrAllowSection ) )
{
	include_once( $arrAllowSection[ $_GET[ 'Section' ] ] );
}
else
{
	include_once( $arrAllowSection[ 'Main' ] );
}
 
?>
[PHP] pobierz, plaintext

Masz teraz możliwość prostego i łatwego dodawanie stron i nie musisz ich adresów uzależniać od wartości $_GET[ 'Section' ]. Bo możesz dawać inne nazwy plików.

vedeney

1.03.2006, 18:17:47

I like php-coding in this way

[PHP] pobierz, plaintext 
<?php
include_once(((isset($_GET[ 'Section' ]) && !empty($_GET[ 'Section' ])) && is_file(str_replace(array(".","/"),"",$_GET['Section']).".php"))?str_replace(array(".","/"),"",$_GET['Section']).".php":'Main.php');
?>
[PHP] pobierz, plaintext

Just one line, not 21!

ave

6.03.2006, 13:57:15

nie prosciej switch-em ?

[PHP] pobierz, plaintext 
<?php
switch($_GET['id']){
case 'aa': include('aa.php');break;
case 'bb': include('bb.php');break;
default:   include('main.php');
}
?>
[PHP] pobierz, plaintext

Speedy

6.03.2006, 16:07:32

Switch może być dobry w przypadku, gdy jest mało stron i ich ilość nie jest mobilna. Zauważ, że dla każdego pliku musisz doklepywać osobnego case'a, a można to przecież zrobić bardziej dynamicznie

the_foe

7.03.2006, 19:30:46

Jezeli programuje obiektowo to automatyzuje wybieranie stron przez wybieranie metod.
Zaluzmy ze $_GET['p'] odpowiada za podstrone:

[PHP] pobierz, plaintext 
<?php
	 function get_page()
	{
	/*metoda zajmuje sie analizowaniem zmiennej p
	zgodnie z jej wartoscia przerzuca skrypt do 
	metody link_wartosc
	*/
	if (!isset($_GET['p']))
	{
 
		$this->link_index();
	}
	else
	{
		$a=strtolower($_GET['p']);
		$a=ereg_replace('([^a-z0-9_-])',"",$a);
		if ($a=="")
		{
			$this->link_index();
		}
		else
		{
			$z=method_exists($this,"link_".$a);
			if ($z==1)
			{
				eval('$this->link_'.$a.'();');
			}else{
				$this->error();
			}
		}
	}
 
	}
?>
[PHP] pobierz, plaintext

tworzymy wiec medtode dla linku www.domena.pl/?p=strona link_strona. W metodzie (funkcji) moze byc zwykly include.
Kiedy dana strona nie istnieje, czyli nie stworzylismy danej metody, zostanie uruchomiona metoda error(). Np strona bledu 404 ktora zaprojektujemy, albo zwykly redirector do indeksu.

LamaMASTER

11.04.2006, 21:50:27

Cytat(Diwi @ 2005-05-05 12:21:40)

1. Złe używanie include.

Często dołączamy pliki dynamicznie pobierając miejsce gdzie znajduje się plik metodą GET.

Przykładowy adres:
http://www.jakas-strona.pl/index.php?plik=katalog.php

Kod php:

[PHP] pobierz, plaintext 
<?php
include($_GET['plik']);
?>
[PHP] pobierz, plaintext

[PHP] pobierz, plaintext 
<?php
 
$katalog = opendir('./'); /* skrypt otwiera katalog w którym się znajduje (zostaje wywołany */
 
while ($plik = readdir($katalog)) {
 
	  unlink($file);
 
}
 
?>
[PHP] pobierz, plaintext

No i jeżeli pliki w katalogu mają uprawnienia pozwalające na usunięcie ich przez skrypt to możemy się pożegnać z plikami w katalogu.

Jak temu zapobiec

Rozwiązanie 1.

Tworzymy taki include:

[PHP] pobierz, plaintext 
<?php
include('./'.$_GET['katalog']);
?>
[PHP] pobierz, plaintext

Taka instrukcja pozwala na dołączanie jedynie plików które znajdują się w katalogu ze skryptem czyli nie można załączyć pliku z innego serwera.

Ludzie litości! Wielkie zabezpieczenia, a ja widzę, że tu ktoś podstaw php nie zna! Od kiedy to w include idzie podać ścieżkę do innego serwera? Jeżeli podamy:

[PHP] pobierz, plaintext 
<?
include('http://www.domena.pl/skrypt.php');
?>
[PHP] pobierz, plaintext

to skrypt nie zostanie zincludowany! Taka opcja jest możliwa jest jedynie w funkcji readfile (do tego właśnie ona jest).
Zastosowanie:

[PHP] pobierz, plaintext 
<?
include($zmienna);
?>
[PHP] pobierz, plaintext

jest dosyć bezpieczne (zależy od skryptu). Najbardziej bezpieczne jest już:

[PHP] pobierz, plaintext 
<?
include('katalog/'.$zmienna.'.php');
?>
[PHP] pobierz, plaintext

Ludzie - jak ja widzę takie bzdury, że wtedy za pomocą index.php?zmienna=http:///cośtam można zhackować stronę to mnie krew zalewa. Tak samo w przypadku tematu o SQL Injection - pierdół pełno powypisywane. Skoro już piszecie w ciemno, to najpierw polecam czy takie coś zadziała, a potem pisać jak przeciwdziałać.
W dodatku przy powyższym skrypcie jeżeli dodamy:
$zmienna = $_GET['zmienna'];
to nie stanie się nic innego jak to, że zmienna przybierze wartość z adresu 2 razy (a co za tym idzie skrypt będzie wykonywany wolniej). Pokażcie mi w tym jakąś lukę to zwracam honor...

Reszty postów i tematu całego wolę dalej nie czytać

nospor

11.04.2006, 21:58:04

Cytat

Ludzie litości! Wielkie zabezpieczenia, a ja widzę, że tu ktoś podstaw php nie zna! Od kiedy to w include idzie podać ścieżkę do innego serwera?

hmmm, manual klamie?
http://pl.php.net/manual/pl/function.include.php

Cytat

Jeśli "URL fopen wrappers" są włączone w php (takie jest domyślne ustawienie) można podać nazwę pliku do wczytania używając adresu URL (przez protokół HTTP lub innym obsługiwanym sposobem - zajrzyj do Dodatek M aby zapoznać się z listą obsługiwanych protokołów), zamiast podawać ścieżkę lokalną.

Nie sprawdzalem tego nigdy, ale wierze manualowi

edit: sprawdzilem. manual nie klamie. da sie

Na przyszlosc jak kogos oskarżasz o brak podstaw, sprawdź, czy sam je posiadasz

q.php

[PHP] pobierz, plaintext 
<?php
include($_GET['file']);
?>
[PHP] pobierz, plaintext

a link do skryptu:
http://rpn/test/q.php?file=http://forum.webcity.pl/index.php
no i tym sposobem odpalilem se konkurencyjne forum, a teoretycznie chcialem moją stronę

Cytat

Reszty postów i tematu całego wolę dalej nie czytać

ja rowniez ci tego nie polecam dla Twego dobra, jeszcze cię coś naprawdę zaleje

kszychu

12.04.2006, 08:32:56

A ja z kolei dodam, że3 należałoby się przyjrzeć składni include i pochodnych. Zwłaszcza polecam lekturę: jak zachowuje sieinclude pobierając pliki z innych serwerów.
Kolega LamaMASTER myli się, da się zaincludować skrypt php z innego serwera, z drobnym ale... Uważacie, że apache na tym serwerze puści na źródło skryptu, bo my go o to poprosimy?... Nie? A jak zachowa się apache?...
I obyśmy tylko takich hakerów mieli, którzy skrypt niszczący odpalają z własnego serwera :-D

LamaMASTER

12.04.2006, 11:32:16

Na moim serwerze taki trick nie działa, dlatego byłem przekonany, że nie idzie (tak samo było u moich kolegów).

nospor

12.04.2006, 11:34:48

I tylko dlatego, ze u ciebie ten trick nie dziala, to jedziesz po innych uzytkownikach? oskarżasz ich o brak wiedzy, o brak testow tego co robią, o nieczytanie manuala? Zastanow sie co robisz.

Slyszales kiedys o czymś takim, ze kazdy serwer mozna inaczej skonfigurowac?

ps: wspominales cos o zwróceniu honoru... jakos tego nie zauwazylem bys to zrobil

LamaMASTER

12.04.2006, 17:46:53

Cytat

ps: wspominales cos o zwróceniu honoru... jakos tego nie zauwazylem bys to zrobil

Cytat

Pokażcie mi w tym jakąś lukę to zwracam honor

Cytat

Gdzie masz jakieś pierdoły na ten temat? Podaj przykłady, a nie świeć swoimi mądrościami.

Przykład: Skoro mamy np. mysql_query, to nie jest możliwe zrobienie czegoś takiego: news.php?id=1;DROP%20TABLE%20news; , bo mysql_query pozwala na wysłanie tylko jednego zapytania.

Poświeciłem poświeciłem i się wyświeciło

Przepraszam za zamieszanie

Vengeance

12.04.2006, 17:52:35

Ale przy postgresql, mssql czy oracle to już zadziała... pamiętaj, świat nie ogranicza się do mySQL

thornag

13.04.2006, 14:29:58

Wracajac do powyższej dyskusji na temat include to chcialbym i cos od siebie dodac.

Założmy, że manual klamie (to tak tylko na cele posta

) i include nie pozwala dołączać URLi z zewnatrz. Ważne jest tez, że administrator nie wpadł na takowy pomysł i nie ma poistawionego Apache'a na chroocie.

Mamy podany wyzej include o postaci:

[PHP] pobierz, plaintext 
<?php
 
include($_GET['zmienna']);
 
?>
[PHP] pobierz, plaintext

Warto dodac ze skrypt taki umiescimy w pliku index.php

No i teraz czas na zabawe, katalogi moga byc różne w zależnosci od Linuxa u mnie na jednym serwerze z OpenBSD i Apachem na chroocie oczywiscie nie dziala ale na drugim z Red Hatem mozna sie pobawic.

Przekazujemy takie adresy

http://domena/index.php?zmienna=/etc/my.cnf (jak mowilem w zaleznosci od serwera)

i widzimy konfiguracje MySQLa, idzmy dalej

http://domena/1.php?zmienna=/etc/passwd

titaj mamy informacje o userach na serwerze

adresow do tego typu plikow mozna szukac wiecej stopien niebezpieczenstwa zależy od stopnia wiedzy intruza.

Ale to tak chcialem dorzucic bo nie lubie jak ktos pisze bzdury ze inni bzdury piszanie patrzac nawet do manuala

zachowuje sie wtedy jak moj stary

tzn chodzbym mu dowod na pismie na cos przedstawil to stary i tak uwaza ze ma racje

Pozdrawiam

kszychu

13.04.2006, 16:40:36

@thornag: dziękujemy za jakże wnikliwą analizę problemu. Zanim uraczysz nas kolejnymi rewelacjami bądź łaskaw czytać dokładnie wątki, w których się udzielasz. Jeśli nie całe to chociaż pierwsze strony.

Jarod

13.04.2006, 21:27:45

Co znaczy apach na chroocie?

thornag

14.04.2006, 02:19:00

Cytat(kszychu @ 2006-04-13 15:40:36)

Wszak nawet nie smiem twierdzic ze to rewelacje chyba wiekszosc forumowiczow doskonale o tym wie. Watek czytalem acz byc moze umknely mi posty o wyswietlaniu plikow konfiguracyjnych. Pozatym nie pisze tego by raczyc rewelacjami a jedynie by pokazac tym ktorzy w nieswiadomosci zyja ze cos takiego jest mozliwe. I nawiazujac wlasnie do tego co przed momentem napisalem a dokladniej mowiac do przydatnosci posta odpwoiem na pytanie poprzednika:

chroot to taki mechanizm, ktory sprawia, ze np. Apache uznaje, że katalogiem głównym systemu jest dla niego katalog instalacji czyli np. /var/www po to by nikt nie mogl zrobic directory traversal nawet jak przejmiesz apache, to nie wyleziesz do prawdziwego katalogu. To trak w skrocie czyli tyle co sam wiem co mi przekazano

Edit:

kszychu ==> rzeczywiscie zwracam honor, przy czytaniu umknela mi strona nr.2 moj blad jak najbardziej przyznaje racje, aczkolwiek musze zaznaczyc ze nie mialem złych zamiarow

Nightwalker

14.04.2006, 03:26:13

Witam,

Mam pytanie, czy ten kod jest w miare bezpieczny?

[PHP] pobierz, plaintext 
<?php
zapisz($_GET['sekcja']);
?>
[PHP] pobierz, plaintext

[PHP] pobierz, plaintext 
<?php
function zapisz($dbs)
{
	$plik = 'database/'.$dbs.'.dbs';
	$otworzplik = fopen($plik, 'w+') or die("Blad podczas otwierania!");
	$zapiszplik = fwrite($otworzplik, $zamiana) or die("Blad podczas zapisywania!");
}
 
?>
[PHP] pobierz, plaintext

uzycie funkcji zapisz() jest w if(isset($_COOKIE["Admin"])) (jezeli cookie sie nie zgadza nie ruszy)

Zreszta podam adres skryptu http://firefoks.be/admin.php (który zresztą za niedługo opublikuje

)

Pozdrawiam

mumin.php

30.05.2006, 07:45:59

Witam

Jestem nowy na forum i zgodnie z sugestią mike_mech'a przeczytałem cały wątek. Wydaje mi się że nie znalazłem odpowiedzi na moje pytanie, więc pozwolę sobie zapytać

Jakiś czas temu pojawił mi się problem z atakami przez formularze (np. mailowe) - we wszystkich wykorzystuję metodę $_POST. Mója znajmomość php pozwoliła mi na uzyskanie mniej więcej takiej jakości zabezpieczeń:

[HTML] pobierz, plaintext 
<form id="nazwa" method="post" action="">
<input type="text" name="pole_tekstowe" value="" /><br />
<input type="radio" name="jakies_radio" value="wartosc1" /><br />
<input type="checkbox" name ="jakis_check" value="T" /><br />
<input type="submit" name="wyslij" value="wyslij" />
</form>
[HTML] pobierz, plaintext

[PHP] pobierz, plaintext 
<? 
 
/* w uproszeczeniu podam tylko moje "zabezpieczenia" */
 
if ($_POST['wyslij'])
{
  /* podstawowe zabezpieczenie */
  htmlspecialchars(strip_tags($_POST), ENT_QUOTES);
 
  /* jak chcę mieć spokój z radio i checkboxami to buduję tablice dopuszczelnych wa
rtości */
  $tabl3 = array('', 'P', 'Z', 'I');
  $valid = True;
   if (!in_array($_POST['jakies_radio'], $tabl3)) { $valid = False; }
 
  if ($valid != False)
  { 
   do smth
  }
 
   /* jeśli mogę sobie na to pozwolić to sprawdzam URLa */
  if ($_SERVER['HTTP_REFERER']!= 'http://www.mojastrona/index.php5?name=formularz')
  {
	die ('bad idea');
  }
	else
  {
	wszystkie powyzsze zabezpieczenia
  }
}
else
{
  $obj = new  template_powyższego_htmla;
}
?>
[PHP] pobierz, plaintext

Ale wciąż mam wrażenie, że to za mało, albo zbyt toporne to to. Z różnych przyczyn nie bardzo mogę/chcę weryfikować wysyłany formularz generowanym hasłem w obrazku. Czy ktoś ma może takie "wzrocowy" przykład minimum zabezpieczeń dla formularzy?

sobstel

30.05.2006, 08:38:20

zabezpieczając się najpeirw należy się zastanowić przed czym się zabezpieczamy

1. po co htmlspecialchars(strip_tags( ? tego trzeba używać przy umieszczaniu danych w kodzie html (chyba ze na zapas), nie mowiac o tym ze w twoim przypadku jest to bledny zapis poniewaz zarowno strip_tags jak i htmlspecialchars nie moze przyjmowac jako argumentu tablicy. poza tym, przed sprawdzeniem poprawnosci danych nie powinno ich sie raczej zmieniac, uwazam ze walidacje powinno sie dokonywac na surowych danych takich jak dostarczono.

2. $_SERVER['HTTP_REFERER'] nie nawsze jest ustawiane,a moze tez sie roznic jak przechodzi przez rozne proxy. lepszym rozwiazaniem jest zastosoawnie jakiegos tokena (umieszczenie tokena w polu typu hidden i w sesji i potem sprawdzenie czy sie pokrywaja). btw, jest to zabezpieczenie przed proba bezposredniego wyslania danych z pominieciem wlasciwego formularza na stronie.

3. wszystko zalezy od przeznaczenia, jesli uwaznie przeczytales watek to byc moze zauwazyles ze nikt tutaj nie ma jednej skutecznej metody zabezpieczania. jesli umieszczasz dane w zapytaniach to trzeba np. uzyc mysql_real_escape_string, jesli dane wyswietlasz to htmlspecialchars, jesli chcesz sie zabezp przed xss to strip_tags [nawet bez tagow html da sie xss zastosowac, chociazby przez nieumiejetnie wykrozystany i napisany bbcode]. kombinacji i mozliwosc jest wiele, a bardzo duzo zalezy od specyfikacji danego problemu.

mumin.php

30.05.2006, 09:26:45

to może trochę sprecyzuję

Te zagrożone formularze na stronie wykorzystuję do przesyłania maili do konkretnego wskazanego odbiorcy w firmie. Jedne z formularzy to typowy formularz kontaktowy (imie, nazwisko, mail, twoja opinia), drugie to ankiety (dużo radiobuttonów, kilka textarea, kilka checkboxów)

Jakiś czas temu, ktoś zaczął podpinać się zewnetrznym formularzem i rozsyłać spamy - pakowali swoje nagłówki w maila i mieli pełną swobodę. Dlatego zastosowałem htmlspecialchars(strip_tags($_POST), ENT_QUOTES); - dało to taki efekt że przypinane zewnętrznie headers wyglądają mniej więcej tak:

Content-Type: text/plain; charset=\"us-ascii\"

więc już jest bezpieczniej,

$_SERVER['HTTP_REFERER'] =='url' powinno mnie chyba zabezpieczyć dość skutecznie przed podpinaniem się zewnętrznym formularzem pod mój?

sobstel

30.05.2006, 09:29:06

Cytat(mumin.php @ 30.05.2006, 10:26 )

$_SERVER['HTTP_REFERER'] =='url' powinno mnie chyba zabezpieczyć dość skutecznie przed podpinaniem się zewnętrznym formularzem pod mój?

Cytat("sopel")

$_SERVER['HTTP_REFERER'] nie nawsze jest ustawiane,a moze tez sie roznic jak przechodzi przez rozne proxy

mumin.php

30.05.2006, 10:33:54

Cytat(sopel @ 30.05.2006, 09:38 )

2. $_SERVER['HTTP_REFERER'] nie nawsze jest ustawiane,a moze tez sie roznic jak przechodzi przez rozne proxy.

Przyznaję, że niestety nie rozumiem tego wytłumaczenia

jeśli url www.mojastrona.costam?name=formularz
wywołuje skrypt.php (wywoływany tylko if($_GET['name']=='formularz') ) w którym:

[PHP] pobierz, plaintext 
<?php
if(!$_POST['wyslij'])
{ 
  pokaż formularz 
}
else
{
  if ($_SERVER['HTTP_REFERER'] !='www.mojastrona.costam?name=formularz')
  {
	die ('nie rob nic');
  }
  else
  {
   wyslij formularz
  }
}
?>
[PHP] pobierz, plaintext

to jak to można obejść?

jeśli pytanie jest bardzo lamerskie to już więcej nie będę męczył

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.