Ankündigung

Einklappen
Keine Ankündigung bisher.

Website überprüfen - Bezahlung?

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Website überprüfen - Bezahlung?

    Hallo Leute,

    ich habe vor Jahren mal eine Website für Bekannte erstellt und mir den PHP Code aus dem Internet zusammenkopiert (ich kenne mich damit gar nicht aus). Die Website wurde inzwischen zweimal infiziert, der Hostmaster war wütend, da sein Server gleichmal auf einer Blacklist steht, meinte er. Beim Code schlug er die Hände über den Kopf zusammen

    Da es jetzt wieder passiert ist, würde ich das gerne absichern. Ist das (leicht?) möglich oder müsste man das von Grund auf neu anfangen?
    Es wäre toll, wenn sich jemand findet, der mir hilft!
    Es ist keine kleine Frage, ich kann sicher auch was aus eigener Tasche dafür zahlen! Kann aber gar nicht einschätzen, wie groß der Aufwand ist!

    Danke schonmal!

    Hier der Code:


    PHP-Code:
    entfernt 

  • #2
    Hallo,

    kein Wunder, die GET Parameter sind ja auch kein bisschen gesichert. Was in den einzelnen Dateien steht wäre auch gut zu wissen, eventuell gibts da auch noch reichlich Lücken.

    Es wäre auch hilfreich zu erfahren was für Angriffe es aoher gab, ich denke das wird beim Hoster doch geloggt.

    Im Prinzip neu aufziehen. Wir können dir aber auch keinen Preis sagen, denn wir kennen deine Anforderungen nicht, aber gute Arbeit will gut bezahlt sein.

    Gruß Litter
    Aus dem Dynamo Lande kommen wir. Trinken immer reichlich kühles Bier. Und dann sind wir alle voll, die Stimmung ist so toll. Aus dem Dynamo Lande kommen wir.
    [URL]http://www.lit-web.de[/URL]

    Kommentar


    • #3
      Das ist ja der reinste Horror. Wie Litter schon sagt, die GET Parameter werden nicht überprüft. Ich hoffe du arbeitest dort nicht auch noch mit Datenbanken, Sessions etc.?!

      Kommentar


      • #4
        Via GET-Parameter zu includen ist schon mal worst case. Wenn dann noch irgendwo eine Upload-Möglichkeit besteht, hast Du den absoluten Fail gebastelt.
        [COLOR="#F5F5FF"]--[/COLOR]
        [COLOR="Gray"][SIZE="6"][FONT="Georgia"][B]^^ O.O[/B][/FONT] [/SIZE]
        „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
        [URL="http://www.php.de/javascript-ajax-und-mehr/107400-draggable-sorttable-setattribute.html#post788799"][B]Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“[/B][/URL][/COLOR]
        [COLOR="#F5F5FF"]
        --[/COLOR]

        Kommentar


        • #5
          Grundregel Nummer 1 aus dem imaginären Handbuch für Sicherheit: Man sollte nie - wirklich NIE - unverarbeitete Benutzereingaben ausgeben oder speichern

          Das einfachste ist es sicherlich die Arbeit PHP erledigen zu lassen, ab Version 5.2 (?) gibt es dafür Filter:
          http://www.php.net/manual/en/filter....s.sanitize.php

          Edit Beispiel:
          PHP-Code:
          $page filter_var(trim($_REQUEST["page"]), FILTER_SANATIZE_STRING); 

          Kommentar


          • #6
            Zitat von SirZusa Beitrag anzeigen
            Edit Beispiel:
            PHP-Code:
            $page filter_var(trim($_REQUEST["page"]), FILTER_SANATIZE_STRING); 
            /etc/passwd oder ../../andererkunde/seinepasswortdatei sind auch gültige Strings.

            Wenn unbedingt Dateinamen für's Includen übergeben werden sollen gibt's einen äußert simplen Trick, um das sicher zu machen: schreib alle erlaubten Dateien in ein Array (meinetwegen auch per open-/read-/closedir) und prüfe den GET-Parameter mittels in_array().
            VokeIT GmbH & Co. KG - VokeIT-oss @ github

            Kommentar


            • #7
              Hallo,

              danke für eure Hilfe und sorry für die späte Antwort!
              Ein User aus dem Forum hat sich per Mail bei mir gemeldet und mir einen sicheren Code geschrieben. Inzwischen sind auch die Seiten wieder online und hoffentlich gibts in Zukunft keine Probleme mehr.

              Kommentar


              • #8
                Und du bist dir auch sicher, dass es keine weiteren Sicherheitslücken gibt?

                Kommentar


                • #9
                  Neue Sicherheitslücken kommen mit jeden neuen Update wieder herein. Durch eine Fehlerbehebung öffnet man dann wieder andere Stellen!

                  Kommentar


                  • #10
                    Zitat von harder Beitrag anzeigen
                    Neue Sicherheitslücken kommen mit jeden neuen Update wieder herein. Durch eine Fehlerbehebung öffnet man dann wieder andere Stellen!
                    Jawohl
                    [URL="https://github.com/chrisandchris"]GitHub.com - ChrisAndChris[/URL] - [URL="https://github.com/chrisandchris/symfony-rowmapper"]RowMapper und QueryBuilder für MySQL-Datenbanken[/URL]

                    Kommentar


                    • #11
                      Schaffst Du auch sinnvolle Beiträge, harder, oder geht das jetzt immer so weiter?
                      [COLOR="#F5F5FF"]--[/COLOR]
                      [COLOR="Gray"][SIZE="6"][FONT="Georgia"][B]^^ O.O[/B][/FONT] [/SIZE]
                      „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
                      [URL="http://www.php.de/javascript-ajax-und-mehr/107400-draggable-sorttable-setattribute.html#post788799"][B]Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“[/B][/URL][/COLOR]
                      [COLOR="#F5F5FF"]
                      --[/COLOR]

                      Kommentar

                      Lädt...
                      X