Ankündigung

Einklappen
Keine Ankündigung bisher.

Include von externem Server

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Include von externem Server

    Erstmal Frohes neues Jahr allen!

    Also wenn ich eine a.php habe in der die b.php included wird. Die b.php liegt aber auf einem anderen Server. Natürlich wird die b.php auf dem 2. Server geparst nicht auf dem ich sie include.
    Gibt es eine Möglichkeit, dass sie auf dem ersten Server gepart wird?

  • #2
    knappe frage:
    wo liegt da der vorteil für dich drin?

    das ergebnis sollte doch das gleiche darstellen, oder?
    [b][url=http://www.benjamin-klaile.de]privater Blog[/url][/b]

    Kommentar


    • #3
      um zu verstehen warum variable Includes gefährlich sind. Weil wie soll man eine Datei verändern, wenn die Datei eh auf dem eignen Server geparst wird?

      Kommentar


      • #4
        Zitat von suter
        um zu verstehen warum variable Includes gefährlich sind. Weil wie soll man eine Datei verändern, wenn die Datei eh auf dem eignen Server geparst wird?
        hab ich nicht verstanden.
        [b][url=http://www.benjamin-klaile.de]privater Blog[/url][/b]

        Kommentar


        • #5
          dann hab ichs wohl nicht gut erklärt also:
          Du machst z.B. auf deiner Website Link mit index.php?a=piep.php
          die piep.php wird dann included. Über diesen Link können ja Angreifer deine Seite verändern. In dem sie eine PHP Datei auf deiner Seite includedn die von ihrem Server kommt. Oder habe ich hier was falsch verstanden? Der Wurm geht ja ähndlich vor, leider verstehe ich den Perl Code nicht so recht.

          Kommentar


          • #6
            Nein das geht nicht! Du kannst nur vom selben Server Dateien includen!!! Stell dir mal vor wenn das möglich wäre könntest du Dateien von bestimmten Seiten includen anstatt auszuführen allerdings den Quelltext auslesen!

            Kommentar


            • #7
              genau das ist möglich!
              Apache lässt das Standartmässig zu IIS nicht.

              Kommentar


              • #8
                du willst also sicher gehen, dass keine fremden dateien bei dir included werden?

                dann lies doch mal diesen thread hier:
                http://www.phpfriend.de/forum/viewtopic.php?t=21590

                da habe ich mit volker eine diskussion darüber geführt.
                das hier ist dann der code, der am ende (unter voraussetzungen) rausgekommen ist:
                http://www.phpfriend.de/forum/viewto...r=asc&start=25

                grüße ben.
                [b][url=http://www.benjamin-klaile.de]privater Blog[/url][/b]

                Kommentar


                • #9
                  Zitat von suter
                  genau das ist möglich!
                  Apache lässt das Standartmässig zu IIS nicht.
                  Wenn du eine Datei includest wird sie auf dem externen Server erst geparst und dann includet. d.h. sie kann eigentlich keinen Schaden mehr anrichten.
                  Wenn du natürlich deine Skripte schlecht Codest ist es natürlich irgendwie möglich fremden Code, Keine Datei, in deine Skripte einzufügen und das wäre garnet gut.

                  Kommentar


                  • #10
                    @Ben
                    Habs mir jetzt Mal durchgelesen, dass ist mir alles schon einleuchtend. Aber das Skript finde ich umständlich. Dann würde ich lieber alle relativen Links umwandeln lassen in statische. Also mit $_server[] kann man ja die Serveradresse auslesen. Danach halt + include String, der zuvor gefiltert wurde.
                    Aber das ist eigentlich immer noch nicht meine Frage. Bei eurem Beispiel habt ihr darauf geachtet, dass der Benutzer nicht auf alle Dateien auf euren Server durch includes Zugriff kriegt.
                    Mir gehts darum, falls ich eine externe Seite include, wo liegt da der Angriffspunkt? Dieses Forum hier hat der Wurm ja auch erwischt. Die Sicherheitslücke liegt ja in einem Möglichen include auf der Viewtopic, dass man mit einer "$_get[]" - Variable setzen kann. Aber was bringt mir das wenn ich sämtliche Seite eh auf meinem Server geparsed werden, wie konnte der Wurm dann einen Angriff durchführen?

                    Btw. Sonst kannst du das auch Mal ins OT verschieben, weiss nicht genau wos hingehört, eigentlech eher in ein Sicherheitsforum.


                    @Razor
                    Wie injeziere ich den fremden Code über das include? Ich meine wie erlange ich dadurch einen Vorteil, dass ich mit den Serverrechte 777 die Index.php verändern kann.

                    Kommentar


                    • #11
                      ob ein script umständlich ist ... ähem .. egal .. hauptsache es ist sicher.
                      [b][url=http://www.benjamin-klaile.de]privater Blog[/url][/b]

                      Kommentar


                      • #12
                        Zitat von Ben
                        ob ein script umständlich ist ... ähem .. egal .. hauptsache es ist sicher.
                        Ja ok das stimmt aber wie gesagt es geht mir eher darum
                        Mir gehts darum, falls ich eine externe Seite include, wo liegt da der Angriffspunkt? Dieses Forum hier hat der Wurm ja auch erwischt. Die Sicherheitslücke liegt ja in einem Möglichen include auf der Viewtopic, dass man mit einer "$_get[]" - Variable setzen kann. Aber was bringt mir das wenn ich sämtliche Seite eh auf meinem Server geparsed werden, wie konnte der Wurm dann einen Angriff durchführen?

                        Kommentar

                        Lädt...
                        X