Bezpieczeństwo skryptów PHP, Jak zabezpieczyć się przed włamaniem Opcje

[pyro]

A czy nie dałoby radę zabezpieczyć plików przed potencjalnym hax0rem w .htaccess? coś typu Disallow from all i dać sobie dostęp tylko do plików na IP które mogą zaszkodzić stronie w sumie zabezpieczaniu jestem na początkowym stanie, ale ostatnio sprawdzałem u kumpla czy może wbić w dany plik i wyskoczyło mu że nie ma dostępu :]. Fakt że hax0r będzie szukał głębiej, nie mniej jednak i tak to jest jakieś zabezpieczenie już.

A nie lepiej się po prostu normalnie zabezpieczyć sprawdzonymi sposobami? Szczerze nie rozumiem po co ludzie tak kombinują.

(A tak nawiasem to o czym Ty piszesz jest zupełnie bez sensu na stronę www)

[ZuyPan]

Tak sobie czytam i czytam ten temat i doszedłem to następujących wniosków:

* Jeśli już robić wczytywanie podstron za pomocą include to owe podstrony muszą być w osobnym katalogu:

[PHP] pobierz, plaintext 
		if(is_file('/katalog/'.$_GET[strona].'.php')){
			include ('/katalog/'.$_GET[strona].'.php'); 
		}
[PHP] pobierz, plaintext 

* Zawsze filtruje się wszystkie tablice $_GET, $_POST, $_SESSION, $_COOKIE

* Jeśli coś ma być int to dajemy
if(is_int($_GET['liczba'])){
$liczba = $_GET['liczba'];
}

* Jeśli coś jest tekstem to robimy:
$tekst = mysql_real_escape_string($_POST['tekst'];

* Sprawdzamy długość wpisanych danych

* jeśli coś ma być emailem to sprawdzamy poprawność tego co zostało wpisane.

Czy tych kilka zabezpieczeń jest skutecznych? Może ja coś źle rozumiem. I takie pytanie: jeśli tekst filtruje mysql_real_escape_string to nie muszę używać addslashes, htmlspecialchars itd? Ta funkcja chyba mnie odpowiednio zabezpiecza?

[erix]

A może by tak przeczytać CAŁY temat i nie siać herezji, zwłaszcza z bezpośrednim wstawianiem wartości z tablicy $_GET?

[ZuyPan]

Przeczytałem cały temat, ale uwierz mi - te wasze małe "sprzeczki" gdzie ktoś mówi, że bredzicie a potem Wy staracie się udowodnić coś manualem... Z tego tematu stał się śmietnik a nie poradnik. Ktoś taki jak ja wchodzi, czyta i ma jeszcze większy mętlik bo ktoś powiedział o czymś tak a jeszcze inny inaczej. Tylko któraś z tych opinii jest słuszna a któraś błędna. To może warto by było zostawić tylko te słuszne? Temat zmniejszył by się o co najmniej kilka stron. Tylko komu by się chciało....

Ten post edytował ZuyPan 27.07.2011, 09:02:47

[pyro]

Tak sobie czytam i czytam ten temat i doszedłem to następujących wniosków:

* Jeśli już robić wczytywanie podstron za pomocą include to owe podstrony muszą być w osobnym katalogu:

[PHP] pobierz, plaintext 
		if(is_file('/katalog/'.$_GET[strona].'.php')){
			include ('/katalog/'.$_GET[strona].'.php'); 
		}
[PHP] pobierz, plaintext 

Jeśli chcesz, żeby ktoś włamał Ci się na stronę to tak.

* Zawsze filtruje się wszystkie tablice $_GET, $_POST, $_SESSION, $_COOKIE

Nie. Nie zawsze. Według potrzeb.

* Jeśli coś ma być int to dajemy
if(is_int($_GET['liczba'])){
$liczba = $_GET['liczba'];
}

Lub po prostu:

[PHP] pobierz, plaintext 
$liczba = (int)$_GET['liczba'];
[PHP] pobierz, plaintext 

* Jeśli coś jest tekstem to robimy:
$tekst = mysql_real_escape_string($_POST['tekst'];

Też w zależności od sytuacji.

* Sprawdzamy długość wpisanych danych

To nie jest warunek, ale dobrze to robić.

* jeśli coś ma być emailem to sprawdzamy poprawność tego co zostało wpisane.

Jak prawie wszędzie...

I takie pytanie: jeśli tekst filtruje mysql_real_escape_string to nie muszę używać addslashes, htmlspecialchars itd?

A może przeczytaj co robi ta i pozostałe wymienione funkcje...

Ten post edytował pyro 8.08.2011, 14:17:02

[evilpr0]

A ja mam takie pytanko, co z takim kodem?

[PHP] pobierz, plaintext 
if($_GET['akcja'] == "uzytkownicy") {
include('uzytkownicy.php');
}
[PHP] pobierz, plaintext 

Czy taki kod również jest niebezpieczny?

[foxmark]

To ja dodam od siebie jeszcze, że niektóre osoby pisząc aplikacje internetowe, stosują coś takiego jak przechowywanie poufnych danych o userze (po zalogowaniu) w pliku cookie. Taki potencjalny H4X0R może sobie potem swobodnie przeglądać zawartość tych plików i dowolnie je modyfikować. Najgorzej jest wtedy, gdy w takim pliku przechowywana jest wartość zmiennej odpowiedzialna np. za uprawnienia administratora... Wtedy wystarczy ją odpowiednio podmienić i śmiga .
Rozwiązaniem są sesje, które przechowują dane na serwerze.

Pozdrawiam.

Witam,

Dwa pytania.

Pyt. 1: Jestem w poczatkowej fazie projektu i zastanawiam sie nad mozliwymi rozwiazaniami kontroli praw uzytkownikow.
To moj pierwszy projekt w ktorym musze identyfikowac uzytkownika i dodatkowo nadac mu prawa do robienia tego czy tamtego.
Po autoryzacji uzytkownika sprawdzam w DB czy i do jakiej grupy nalezy dany uzytkownik (uzywam LDAP do autentyfikacji uzytkowniak wiec ten problem mi odpada bo ta czesc jest wymuszana zasadami bezpieczenstwa w sieci lokalnej i musze wspolpracowac z administratorem sieci odnosnie autentyfikacji). Moje pytanie jest nastepujace:
Czy ktos moze podac mi przyklady tego jak nalezy konstruowac logike takiej strony. jak sprawdzac czy dana grupa moze uzywac danej finkcji
lub miec dostep do danego linku itp? Jakie rozwiazanie jest najbardziej dynamiczne i efektywne.
Moze ktos zna inne rozwiazania nie bazujace na grupach (np. przywileje do wykonywania dannych czynnosci)
Mysle np. o tym jak w jednym pliku (np. menu.php) zawierac informacje dla wszystkich grup ale podaczas includowania pliku wyswietlcic tylko
linki dla danej grupy uzytkownikow (i/lub linki dla grup ponizej danego lewelu) tzn. ze adminstrator zobaczy wszystkie linki trenerow, userow itp
a trener zobaczy link trenerow i usera ale nie administratorow.

Pyt. 2: Chcialbym w sesji zapisac informacje o nazwie uzytkownika i jego grupie (Admin, user itp) czy istnieje mozliwosc ze znajac
nazwe zmiennej mozna zewnatrznie podmieniac jej wartosc - czyli np.

[PHP] pobierz, plaintext 
 
$_SESSION['user'] = costam;
$_SESSION['ugroupID'] = costam;
[PHP] pobierz, plaintext 

i przypisac im inne wartosci jesli tak jak moge sie przed tym zabezpieczyc?
Nie obawiam sie problemow z loginem bo pracuje w sieci lokalnej dostepnej tylko w jednym budynku
Uzywam LDAP do autoryzacji uzytkownika ale boje sie ze zwyczjany uzytkownik moze chciac podmienic swoje prawa i dac sobie
uprawnienia administratora po tym jak przypisze sesji jego uprawniania

Pozdrawiam!

Ten post edytował foxmark 10.10.2011, 10:58:23

[adam882]

@evilpr0
Twój kod jest OK

[Orzeszekk]

A co jezeli includujemy pliki bezposrednio uzywajac wartosci get, i pliki includowane znajduja sie w oddzielnym katalogu, ale ktos bedzie sprytny i poda nam w GET sciezke /../../costamcostam.php? /.. - powinno nas przeniesc do katalogu niżej.

Jesli juz ktos koniecznie chce brac bezposrednio z GET to musi regexpem wykasowac te znaki z parametru.

Ja tam jestem zwolennikiem białej listy: kazda klasa ktora includuje pliki / uruchamia metody w php funkcją call() biorąc jako parametr parametr z $_GET, korzysta z białej listy (listy dozwolonych wartosci parametru). Taką listę mozna sobie bardzo szybko utworzyc za pomocą array('parametr_1','parametr_2')... a sprawdzic poprawnosc za pomocą

$naszParametr = htmlspecialchars($_GET['param']);
if (!(in_array($naszParametr, $tablicaDozwolonychWartosci))
{
/* Parametr nieprawidlowy, nie znaleziono na liscie, ustawiamy mu tutaj wartosc domyslna lub zatrzymujemy program */
}
/* od tego momentu mozemy uwazac wartosc w $naszParametr za poprawną */
include($naszParametr) / call($naszParametr);


itd itp
biała lista jest znacznie bezpieczniejsza od czarnej listy czy w ogole niesprawdzania poprawnosci bo chroni cie tez przed tym czego nie możesz przewidzieć

[by_ikar]

Jesli juz ktos koniecznie chce brac bezposrednio z GET to musi regexpem wykasowac te znaki z parametru.

Nie musi, do tego celu wystarczy jedna funkcja, basename i powyżej danego katalogu już niestety poruszać się nie będzie mógł

[rumpelek]

uFF... minęło 30 minut od kiedy zacząłem czytać temat... i w zasadzie się zgubiłem... Więc może ja zapytam, czy mój kod jest poprawny i ewentualnie jak go "zabezpieczyć"

[PHP] pobierz, plaintext 
if(isset($_GET['zmienna'])){
$przed = array("\"", "\'", "\\", ">", "<", " ", "%", "_", "&", "#", "0", "9", "2", ";", ":", "/", "$", "GET", "_", "[", "]");
$po  = array("", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "");
$zmienna = str_replace($przed, $po, $_GET['zmienna']);
}else{
  $zmienna='pusta';
}
[PHP] pobierz, plaintext 

Bardzo proszę o konkretne wskazówki...

[wookieb]

Przed tym to ma zabezpieczać? Tutaj jedynie ucinasz sobie szereg funkcjonalności z GET-a zamiast rozważnie pisać kod (a to nie jest takie trudne)

Powód edycji: [wookieb]:

[rumpelek]

no ma zabezpieczać przed atakiem... szeroko rozumianym... gdybym był pewnie na Twoim poziomie wiedzy, to bym tak banalnych pytań nie zadawał... Jeśli mam jakoś bardziej doprecyzować to powiedz jak, a na pewno udzielę odpowiedzi bo jestem żywnie zainteresowany tym, aby moja aplikacja była bezpieczna...

zmienne są różne niektóre numeryczne inne tekstowe...

na podstawie tej zmiennej ładuję np. pliki konfiguracyjne dla danej strony... np.

http://www.adres.pl/index.php?zmienna=nazwafirmy

na podstawie tego ładuję pliki

[PHP] pobierz, plaintext 
include("$nazwafirmy/config.php");
[PHP] pobierz, plaintext 

dlaczego tak? ano dlatego, że obsługuję programem kilka firm i jak wprowadzam zmiany to w plikach skryptu ogólnego... i nie muszę tego robić oddzielnie w każdym katalogu...

[PHP] pobierz, plaintext 
echo "\n<link rel=\"stylesheet\" type=\"text/css\" href=\"$nazwafirmy/style.css\" />";
[PHP] pobierz, plaintext 

np. dzięki temu rozwiązaniu ładuję plik css... i każda strona może wyglądać inaczej ale pracować na tym samym "silniku"

[vee]

swoją drogą zamiast pisać tak:

[PHP] pobierz, plaintext 
$po  = array("", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "", "");
$zmienna = str_replace($przed, $po, $_GET['zmienna']);
[PHP] pobierz, plaintext 

możesz zrobić

[PHP] pobierz, plaintext 
$zmienna = str_replace($przed, null, $_GET['zmienna']);
[PHP] pobierz, plaintext 

to taki mały OT. CO do zabezpieczenia... tak jak mówił kolega powyżej - zdecydowanie łatwiej i skuteczniej jest pisać rozważnie kod, zamiast stosować takie "myki".
Inna sprawa, powinieneś określić jaki zestaw znaków dopuszczasz dla tej zmiennej i odfiltrować to wyrażeniami regularnymi moim zdaniem, tzn np dopuszczać same litery, cyfry i myślnik.

EDIT: Gwoli ścisłości, podane wskazówki raczej nie mają wpływu na bezpieczeństwo, ale na wygodę obsługi.

Pozdrawiam i powodzenia

Ten post edytował vee 13.01.2012, 09:59:13

[marcio]

Elo co stosujecie przed csrf i full path disclosure?

Co do pierwszego zastanawiam sie nad tokenami w url lub przez post (pole typu hidden).

Co do tego drugiego co stosujecie?error_reporting(0) to racej obejcie problemu niz jego likwidacja.
Stosujecie wlasne klasy obslugi bledow?

[erix]

Elo co stosujecie przed csrf

Bez tokenów raczej nie przejdzie, aby było uniwersalne.

Co do tego drugiego co stosujecie?error_reporting(0) to racej obejcie problemu niz jego likwidacja.

Niczego nie stosuję. Proces interpretera odpalam z chrootem.

[marcio]

Niczego nie stosuję. Proces interpretera odpalam z chrootem

Dla mniej wtajemniczonych?

[erix]

Dla mniej wtajemniczonych jest Google i Wikipedia, której wystarczy użyć: http://pl.wikipedia.org/wiki/Chroot

[marcinek37]

Kilka ostatnich dni spędziłem na analizie tego, co wcześniej pisano na forum i tego, co pisano w artykułach na innych stronach.
Było kilka niejasnych pomysłów na zabezpieczenie strony stąd kilka moich pytań.

1. wielokrotnie mówiono, że dobrym zabezpieczeniem przed CSRF jest dodawanie do ważnych linków tokena - mam jednak pytanie, czy optymalnym rozwiązaniem jest, aby taki token był nadawany przy logowaniu i był on aktywny aż do czasu trwania sesji, czy za każdym razem koniecznie musi być nadawany nowy token? pytam, bo w przypadku drugiego rozwiązania będę mieć o wiele więcej pracy

2. czy koniecznie muszę filtrować nawet dane z tablicy SERVER?
przykład zapytania:
mysql_query("INSERT INTO tabela (`id`, `ip`) VALUES(NULL, '$_SERVER[REMOTE_ADDR]')");

3. znalazłem taki kod, który zabezpiecza system przed Session Fixation i Session Hijacking, jednak po jego użyciu mój system logowania nie działa poprawnie
wg mnie to największy problem, bo jeśli ktoś przejmie moją sesję, przejmę całkowitą kontrolę nad systemem i będzie mógł zrobić niemal wszystko

[PHP] pobierz, plaintext 
<?
if (!isset($_SESSION['inicjuj']))
        {
                session_regenerate_id();
                $_SESSION['inicjuj'] = true;
                $_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
        }
 
 
        if($_SESSION['ip'] !== $_SERVER['REMOTE_ADDR'])
        {
                die('Proba przejecia sesji udaremniona!');      
        }
?>
[PHP] pobierz, plaintext 

4. aby zabezpieczyć się przed dodawaniem identyfikatora sesji do adresu www, należy dodać kod:
session.use_only_cookies = 1

tyle że do którego pliku i w jaki sposób?

5. to samo tyczy się poniższego kodu, który należy dodać do .htacces:
php_value session.use_only_cookies 1
php_value session.use_trans_sid 0

ale gdy go dodaje, pojawia się błąd

6. znalazłem też informację, że warto regenerować identyfikator sesji przy każdym odświeżeniu (session_regenerate_id( ), ale rodzi to problem - co, jeśli użytkownik otworzy stronę w dwóch oknach? wtedy w jednym zostanie wylogowany

7. czy dodatkowym zabezpieczeniem może być nadanie chmodu 600 na plik config?

8. aby hasło użytkowników było bezpieczne, przy rejestracji postanowiłem skorzystać ze schematu:
HASH = md5( sól systemowa [16 znaków] + md5(hasło użytkownika) + idywidualna sól nadana dla użytkownika zapisana w bazie [16 znaków] )

czy myślę dobrze, że jest to bezpieczne, bo, nawet jeśli ktoś ukradnie nam dane, nie zna soli systemowej (zapisanej w config), a jeśli wejdzie w posiadanie systemu, nie będzie znać soli przypisanej do użytkownika
polecano mi PHPass, ale wolę to zrobić tym sposobem, jeśli uznacie to za bezpieczne

9. czy naprawdę do sesji warto dodać identyfikator użytkownika (czyli ID, np. 123), jego IP oraz przeglądarkę? kod:

[PHP] pobierz, plaintext 
<?
    if(isset($_SESSION['user_id']) && $_SESSION['user_agent'] == $_SERVER['HTTP_USER_AGENT'] && $_SESSION['user_ip'] == $_SERVER['REMOTE_ADDR']){
    echo'zalogowany';
    }
    else{
    echo'niezalogowany';
    }
?>
[PHP] pobierz, plaintext 

10. czy przy autologowaniu do ciastka powinienem dodać ID użytkownika oraz HASH, o którym mowa w punkcie 8? czy to aby na pewno bezpieczne?

[hind]

1. powinno być za każdym razem generowane z osobna
2. $_SERVER['HTTP_USER_AGENT'] zawiera dane potencjalnie niebezpieczne.
4. php.ini lub ini_set()
6. ni zostanie, chyba że otwarcie obu stron nastąpi w tym samym momencie.
7. i tak i nie, bo to proces httpd/cgi ma odczytać ten plik i uprawnienia muszą być dostosowane do uprawnień procesu wykonującego (choć zwykle jest to root/httpd)
9. sesja powinna być unikalna, więc ID jest nie potrzebne
10. jak przy 9.