Ankündigung

Einklappen
Keine Ankündigung bisher.

[Erledigt] link-include

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • [Erledigt] link-include

    Hi there,

    ich betreibe nun seit knapp 6 Monaten eine Website, in welcher bereits mehrere Sicherheitsbugs aufgetaucht sind. Bis jetzt ist gelang es den Hackern immer durch den include-befehl über die URL sich entweder .php-dateien anzeigen zu lassen oder externe Scripts mit sql_query zum Auslesen der Datenbank einzubinden.

    http://www.domain.de/index.php?phile=haupt.php
    http://www.domain.de/index.php?phile=community/chat.php

    So lief das bis jetzt ab... bis vor kurzen konnte man sogar ganze Websites einbinden (www.google.de) als Wert für $phile eingegeben. Ich habe jetzt an vielen Stellen Filter eingebaut, aber es werde immer andere Arten des Fehlers gefunden. Wäre es eine gute, rationale Methode, wenn ich alle links in eine Datenbank eintrage und nur diese zulasse.

    http://www.domain.de/index.php?phile=chat

    $chat = "community/chat.php";

    Was wäre bei solch einer Maßnahme zu berücksichtigen? Oder würdet ihr das ganz anders machen?

    Cya - Ne0!

  • #2
    Re: link-include

    Zitat von Ne0 W1llow
    Was wäre bei solch einer Maßnahme zu berücksichtigen? Oder würdet ihr das ganz anders machen?
    Sichere Scripte schreiben.
    1. register_globals = Off
    2. keine includes per url_fopen_wrapper.
    3. SQL Injektionen verhindern.
    usw.

    http://www.zend.com/zend/art/art-oertli.php#Heading4
    http://php-mag.de/itr/online_artikel...nodeid,62.html

    Kommentar


    • #3
      ich würd es mit switch machen
      wenn dann der user irgendwas falsches da reinschreibt, wird der default teil ausgeführt der dann z.b. die startseite includet

      Kommentar


      • #4
        Zitat von burner.nst
        ich würd es mit switch machen
        wenn dann der user irgendwas falsches da reinschreibt, wird der default teil ausgeführt der dann z.b. die startseite includet
        Switch nutzt bei "Cross Site Scripting" überhaupt nix. Man darf fremde URLs niemals per include ('http://hackerhost/') einbinden, weil dann folgendes passiert:
        'http://hackerhost/ verweist auf index.html. Und in index.html könnte folgendes drinstehen:
        Code:
        <?php
        echo "Du wurdest eben gehackt!";
        # viel schädlicher Code
        exit;
        Auf dem fremden Server wird ja *.html nicht geparst! Aber die eigene Kiste führt bei include alles aus, was zwischen PHP Tags steht.

        "Und das war's, Lars"

        Kommentar

        Lädt...
        X