![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 245 Pomógł: 4 Dołączył: 22.01.2005 Ostrzeżenie: (0%) ![]() ![]() |
Witam.
Chciałbym rozpocząć temat o bezpieczeństwie skryptów php. Na forum istnieje już temat o bezpieczeństwu przy wykonywaniu zapytania SQL lecz nie ma o ogólnym bezpieczeństwie skryptów. 1. Złe używanie include. Często dołączamy pliki dynamicznie pobierając miejsce gdzie znajduje się plik metodą GET. Przykładowy adres: http://www.jakas-strona.pl/index.php?plik=katalog.php Kod php:
Taki skrypt dokonałby dołączenia pliku katalog.php do skryptu lecz co by się stało gdyby włamywacz wpisał taki adres: http://www.jakas-strona.pl/index.php?plik=...t-niszczacy.php Dajmy na to że skrypt znajdujący się na serwerze hakera wygląda tak:
No i jeżeli pliki w katalogu mają uprawnienia pozwalające na usunięcie ich przez skrypt to możemy się pożegnać z plikami w katalogu. Jak temu zapobiec (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) Rozwiązanie 1. Tworzymy taki include:
Taka instrukcja pozwala na dołączanie jedynie plików które znajdują się w katalogu ze skryptem czyli nie można załączyć pliku z innego serwera. Ja narazie pamiętam tylko tyle lecz jeżeli znacie jakieś inne błędy popełniane przez programistów a także sposoby walczenia z nimi to się tutaj dopiszcie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Pozdrawiam // prosiłbym moderatorów (jeżeli można) o przyklejenie tego tematu --- Przyklejone - hwao |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 3 Pomógł: 0 Dołączył: 31.05.2007 Ostrzeżenie: (0%) ![]() ![]() |
ad ad ad 1 (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)
wpisuje nazwę innego pliku znajdującego się w katalogu... + %00 teoretycznie wg tego co mówisz powinno mi się wyświetlić a wyświetlić a wyświetla się znany ci już błąd "Strony "(ukryta nazwa pliku)\0" nie znaleziono." hmm... jestem po prostu głupi i nie potrafię zrobić włamu na własną stronę (IMG:http://forum.php.pl/style_emoticons/default/haha.gif) ad ad ad boo poprawione... ale pewnie dalej gdzieś jest dziura (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) ad ad ad 3 ehh to głębszy temat... z czasem się dopracuje (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) PS wiesz po prostu przeczytam sobie troche na twojej stronce (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) i na innych temu podobnych (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) Ten post edytował peen 1.06.2007, 19:33:36 |
|
|
![]() ![]() |
![]() |
Aktualny czas: 7.10.2025 - 20:55 |