Hej,

Mam taki oto kod, ktory odpowiedzialny jest za download pliku ktorego nazwa przekazana jest do skryptu w postaci parametru $_GET.
Pomijajac sposob w jaki jest ten plik napisany - stary kod, ktory zostal napisany dawno, dawno temu czy widzicie mozliwosc "obejscia" zabezpieczen w/w pliku.

Patrze na to i w zasadzie nie widze niczego co moznaby tutaj zrobic co spowodowaloby np. wyslanie do przegladarki dowolnego pliku z katalogu domowego strony www.

Jesli jest cos czego nie widze bede wdzieczny za sugestie.

[PHP] pobierz, plaintext 
require __DIR__ . '/elements/_session.php';
 
if (!isset($_SESSION["userid"])) {
    header('HTTP/1.1 401 Unauthorized');
    die('You must be logged in to perform this command');
}
 
$file = (isset($_GET['file'])) ? $_GET['file'] : '';
 
if (preg_match('/^.*\.\.\/.*$/i', $file)) {
    header('HTTP/1.0 403 Forbidden');
    die('Invalid filename');
}
 
$allowed_extensions = array("CSV", "DOC", "ZIP", "PDF", "DOCX");
 
if ($file != '' && file_exists($file) && is_readable($file)) {
 
    $ext = substr($file, strrpos($file, '.')+1);
    if(!(in_array(strtoupper($ext), $allowed_extensions))) {
        die("Not Allowed");
    }
 
    header('Content-type: text/csv');
    header("Content-Disposition: attachment; filename=\"{$file}\"");
    readfile($file);
    die();
}
 
header("HTTP/1.0 404 Not Found");
echo "<h1>Error 404: File Not Found</h1>";
if ($file != '') {
   echo "<br /><h2><em>{$file}</em></h2>";
}
[PHP] pobierz, plaintext 

pzdr

Dzieki temu wyrazeniu
if (preg_match('/^.*\.\.\/.*$/i', $file)) {
można podac dowolną pelna sciezke do pliku na serwerze i jesli tylko php ma do niej dostep, do pobrac stamtd dowolny plik o rozszerzeniu ktore podales.

To ktos kiedys "zalatal" poprzez sprawdzanie rozszezenia pliku.

Dzieki nospor

Powinienes uzyc
http://pl1.php.net/manual/en/function.basename.php
i majac tylko samą nazwe pliku bez sciezki pobierac plik z katalogow, ktore sam wybierasz.

Problem z tym plikiem jest taki ze siedzi to sobie w glownym katalogu i zbiera requesty z calego systemu (nie ma tam jakiegos centralnego routera tylko skrypty w strukturze aplikacji odwoluja sie do tego pliku bezposrednio).

Pliki, ktore wysylane sa do przegladarki przez ten plik siedza w roznych miejscach w strukturze katalogow wiec w $_GET musi byc przekazywana sciezka do wczesniej wspomnianych plikow bo inaczej system nie bedzie mogl tych plikow znalezc. Nie bardzo jest mozliwosc to zmienic bo aplikacja jest duza wiec latamy jak sie da.

Rozwiazanie od d.... strony ale tak to ktos kiedys zrobil.

Możesz sobie napisać jakąś metodę która wypluje tablicę z dozwolonymi katalogami do przeszukania. Jeżeli plik będzie odwoływał się do innego katalogu to die.
Jeżeli natomiast skrypt ma latać po dowolnym katalogu to jest to strzał w stopę i niestety nie za bardzo się uchronisz przed tym.

Możesz ew. w drugą stronę, zrobić spis katalogów zabronionych. Wystarczy początkowa ścieżka typu /root, /home, /tmp i zrobić dopasowanie po wcześniejszym wycięciu niebezpiecznych znaków typu ../