Include von externem Server

suter · 06.01.2005, 08:24

Erstmal Frohes neues Jahr allen!

Also wenn ich eine a.php habe in der die b.php included wird. Die b.php liegt aber auf einem anderen Server. Natürlich wird die b.php auf dem 2. Server geparst nicht auf dem ich sie include.
Gibt es eine Möglichkeit, dass sie auf dem ersten Server gepart wird?

imported_Ben · 06.01.2005, 09:40

knappe frage:
wo liegt da der vorteil für dich drin?

das ergebnis sollte doch das gleiche darstellen, oder?

suter · 06.01.2005, 09:56

um zu verstehen warum variable Includes gefährlich sind. Weil wie soll man eine Datei verändern, wenn die Datei eh auf dem eignen Server geparst wird?

imported_Ben · 06.01.2005, 10:00

Zitat:

Zitat von suter

um zu verstehen warum variable Includes gefährlich sind. Weil wie soll man eine Datei verändern, wenn die Datei eh auf dem eignen Server geparst wird?

hab ich nicht verstanden.

suter · 06.01.2005, 10:21

dann hab ichs wohl nicht gut erklärt also:
Du machst z.B. auf deiner Website Link mit index.php?a=piep.php
die piep.php wird dann included. Über diesen Link können ja Angreifer deine Seite verändern. In dem sie eine PHP Datei auf deiner Seite includedn die von ihrem Server kommt. Oder habe ich hier was falsch verstanden? Der Wurm geht ja ähndlich vor, leider verstehe ich den Perl Code nicht so recht.

Flor1an · 06.01.2005, 10:26

Nein das geht nicht! Du kannst nur vom selben Server Dateien includen!!! Stell dir mal vor wenn das möglich wäre könntest du Dateien von bestimmten Seiten includen anstatt auszuführen allerdings den Quelltext auslesen!

suter · 06.01.2005, 10:28

genau das ist möglich!
Apache lässt das Standartmässig zu IIS nicht.

imported_Ben · 06.01.2005, 10:30

du willst also sicher gehen, dass keine fremden dateien bei dir included werden?

dann lies doch mal diesen thread hier:

http://www.phpfriend.de/forum/viewtopic.php?t=21590

da habe ich mit volker eine diskussion darüber geführt.
das hier ist dann der code, der am ende (unter voraussetzungen) rausgekommen ist:

http://www.phpfriend.de/forum/viewto...r=asc&start=25

grüße ben.

Flor1an · 06.01.2005, 10:34

Zitat:

Zitat von suter

genau das ist möglich!
Apache lässt das Standartmässig zu IIS nicht.

Wenn du eine Datei includest wird sie auf dem externen Server erst geparst und dann includet. d.h. sie kann eigentlich keinen Schaden mehr anrichten.
Wenn du natürlich deine Skripte schlecht Codest ist es natürlich irgendwie möglich fremden Code, Keine Datei, in deine Skripte einzufügen und das wäre garnet gut.

suter · 06.01.2005, 13:17

@Ben
Habs mir jetzt Mal durchgelesen, dass ist mir alles schon einleuchtend. Aber das Skript finde ich umständlich. Dann würde ich lieber alle relativen Links umwandeln lassen in statische. Also mit $_server[] kann man ja die Serveradresse auslesen. Danach halt + include String, der zuvor gefiltert wurde.
Aber das ist eigentlich immer noch nicht meine Frage. Bei eurem Beispiel habt ihr darauf geachtet, dass der Benutzer nicht auf alle Dateien auf euren Server durch includes Zugriff kriegt.
Mir gehts darum, falls ich eine externe Seite include, wo liegt da der Angriffspunkt? Dieses Forum hier hat der Wurm ja auch erwischt. Die Sicherheitslücke liegt ja in einem Möglichen include auf der Viewtopic, dass man mit einer "$_get[]" - Variable setzen kann. Aber was bringt mir das wenn ich sämtliche Seite eh auf meinem Server geparsed werden, wie konnte der Wurm dann einen Angriff durchführen?

Btw. Sonst kannst du das auch Mal ins OT verschieben, weiss nicht genau wos hingehört, eigentlech eher in ein Sicherheitsforum.

@Razor
Wie injeziere ich den fremden Code über das include? Ich meine wie erlange ich dadurch einen Vorteil, dass ich mit den Serverrechte 777 die Index.php verändern kann.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] Server durchsuchen mit php		PHP Tipps 2008	7	18.08.2007 12:24
Server für shell_exec() / exec() vorbereiten	Martek	Server, Hosting und Workstations	2	16.03.2007 15:03
streaming von videos, server lahmt bereits nach einem abruf	snowflow	Server, Hosting und Workstations	6	30.11.2006 18:04
Client IP bei include über anderen Server		PHP Tipps 2006	5	14.03.2006 14:55
Frage zu Windows Server 2003	b++	Off-Topic Diskussionen	1	03.03.2006 09:41
[Erledigt] verschiedene Versionen auf einem W2K3 Server betreiben		PHP Tipps 2006	2	13.01.2006 17:39
include von einem anderen server		PHP Tipps 2005-2	7	06.09.2005 13:05
Suche Tipps für Persormance-Steigerung (Geld für Nützliches)		Beitragsarchiv	18	16.08.2005 10:57
ungewollte weiterleitung bei INCLUDE () von fremdem server		PHP Tipps 2005-2	2	13.08.2005 12:20
Include von Dateien auf eigenem (anderen) server		PHP Tipps 2005-2	3	04.07.2005 17:39
csv to sql von externem server	bratwurstschorsch	PHP Tipps 2005-2	2	16.06.2005 14:03
[Erledigt] Include Problem nach server wechsel		PHP Tipps 2005	4	01.06.2005 00:42
[Erledigt] Funktionssammlung auf externen Server auslagern		PHP Tipps 2005	20	29.05.2005 14:04
[Erledigt] Klassen auf externem Server		PHP-Fortgeschrittene	5	21.04.2005 16:59
[Erledigt] Mit PHP Script auf einem Root Server per SSH einlogen		PHP Tipps 2005	5	27.03.2005 19:24

06.01.2005, 08:24
suter Erfahrener Benutzer Registriert seit: 06.09.2003 Beiträge: 309	Include von externem Server Erstmal Frohes neues Jahr allen! Also wenn ich eine a.php habe in der die b.php included wird. Die b.php liegt aber auf einem anderen Server. Natürlich wird die b.php auf dem 2. Server geparst nicht auf dem ich sie include. Gibt es eine Möglichkeit, dass sie auf dem ersten Server gepart wird?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

06.01.2005, 09:40
imported_Ben Erfahrener Benutzer Registriert seit: 18.09.2003 Beiträge: 13.598 PHP-Kenntnisse: Fortgeschritten	knappe frage: wo liegt da der vorteil für dich drin? das ergebnis sollte doch das gleiche darstellen, oder? __________________ Webentwickler-Blog - Buchbesprechung PHP Design Patterns - SQL-Antipatterns

06.01.2005, 09:56
suter Erfahrener Benutzer Registriert seit: 06.09.2003 Beiträge: 309	um zu verstehen warum variable Includes gefährlich sind. Weil wie soll man eine Datei verändern, wenn die Datei eh auf dem eignen Server geparst wird?

06.01.2005, 10:21
suter Erfahrener Benutzer Registriert seit: 06.09.2003 Beiträge: 309	dann hab ichs wohl nicht gut erklärt also: Du machst z.B. auf deiner Website Link mit index.php?a=piep.php die piep.php wird dann included. Über diesen Link können ja Angreifer deine Seite verändern. In dem sie eine PHP Datei auf deiner Seite includedn die von ihrem Server kommt. Oder habe ich hier was falsch verstanden? Der Wurm geht ja ähndlich vor, leider verstehe ich den Perl Code nicht so recht.

06.01.2005, 10:26
Flor1an ¯\_(ツ)_/¯ Registriert seit: 18.06.2008 Beiträge: 8.814 PHP-Kenntnisse: Fortgeschritten	Nein das geht nicht! Du kannst nur vom selben Server Dateien includen!!! Stell dir mal vor wenn das möglich wäre könntest du Dateien von bestimmten Seiten includen anstatt auszuführen allerdings den Quelltext auslesen! __________________ ▇█▓▒░◕‿‿◕░▒▓█▇

06.01.2005, 10:28
suter Erfahrener Benutzer Registriert seit: 06.09.2003 Beiträge: 309	genau das ist möglich! Apache lässt das Standartmässig zu IIS nicht.

06.01.2005, 10:30
imported_Ben Erfahrener Benutzer Registriert seit: 18.09.2003 Beiträge: 13.598 PHP-Kenntnisse: Fortgeschritten	du willst also sicher gehen, dass keine fremden dateien bei dir included werden? dann lies doch mal diesen thread hier: http://www.phpfriend.de/forum/viewtopic.php?t=21590 da habe ich mit volker eine diskussion darüber geführt. das hier ist dann der code, der am ende (unter voraussetzungen) rausgekommen ist: http://www.phpfriend.de/forum/viewto...r=asc&start=25 grüße ben. __________________ Webentwickler-Blog - Buchbesprechung PHP Design Patterns - SQL-Antipatterns

06.01.2005, 13:17
suter Erfahrener Benutzer Registriert seit: 06.09.2003 Beiträge: 309	@Ben Habs mir jetzt Mal durchgelesen, dass ist mir alles schon einleuchtend. Aber das Skript finde ich umständlich. Dann würde ich lieber alle relativen Links umwandeln lassen in statische. Also mit $_server[] kann man ja die Serveradresse auslesen. Danach halt + include String, der zuvor gefiltert wurde. Aber das ist eigentlich immer noch nicht meine Frage. Bei eurem Beispiel habt ihr darauf geachtet, dass der Benutzer nicht auf alle Dateien auf euren Server durch includes Zugriff kriegt. Mir gehts darum, falls ich eine externe Seite include, wo liegt da der Angriffspunkt? Dieses Forum hier hat der Wurm ja auch erwischt. Die Sicherheitslücke liegt ja in einem Möglichen include auf der Viewtopic, dass man mit einer "$_get[]" - Variable setzen kann. Aber was bringt mir das wenn ich sämtliche Seite eh auf meinem Server geparsed werden, wie konnte der Wurm dann einen Angriff durchführen? Btw. Sonst kannst du das auch Mal ins OT verschieben, weiss nicht genau wos hingehört, eigentlech eher in ein Sicherheitsforum. @Razor Wie injeziere ich den fremden Code über das include? Ich meine wie erlange ich dadurch einen Vorteil, dass ich mit den Serverrechte 777 die Index.php verändern kann.