Citat:
|
>= PHP 5.1.0
//php.ini Kôd:
allow_url_include = Off a postoji i allow_url_fopen |
hm, ja licno znam za taj allow_url_include. I nije meni problem da zastitim svoj kod protiv ovakvih napada. Stavise, nijedna moja skripta nije ranjiva na ovakav tip napada. Nego mene zanima kako da napravim skriptu koja moze se tako includuje preko url-a i da radi na server na kome je includovana :)
|
Pa napravis kao i svaku drugu skriptu, samo moras da joj promenis ekstenziju da tvoj server posalje php kod a da ga ne izvrsi. Ovaj drugi include-uje sors i izvrsi ga.
|
lele, a ja sam mislio to neki teski hack :D Sramota :) Thnx
|
Hehe..
Sto se tice zastite od rfi-a, sledece stvari su korisne da se podese kako navedem sem ukoliko je neophodno za funkcionisanje skripte da se ne menja. Za pocetak ako ti skripta moze bez, obavezno iskljuci potencijalno opasne funkcije: Kôd:
disable_functions=system,exec,passthru,shell_exec ozbiljniju stetu na serveru, ali ako nisi u mogucnosti to da uradis, ali i ako jesi, u svakom slucaju procitaj ceo post i preporucljivo je da poslusas. :) Zatim nacin za zabranu pozivanja fajla van odredjenog direktorijuma se moze odraditi sa array-om kao sto je navedeno na 1 strani, ali ako ne zelite tako, mozda vam ovaj kod moze pomoci: Kôd:
<?php nisu sa .php ekstenzijom ali se nalaze u direktorijumu moduli/. Primer: Kôd:
http://www.serv.com/include.php?modul=nesto.txt? a $_get koristi samo tamo gde je namenjen, forsiraj post metod. Zatim iskljuci register_globals i allow_url_fopen, i gledaj kod skripti :) Preporucujem ti da pregledas security deo php manuala, dosta ces nauciti o ovim napadima. Takodje se pozabavi sql injectionom, daleko manje opasnim xss-om i komplikovanijimm csrf-om (ako je manji projekat, csrf mozes zaobici, za sad :) ). Ako imas dedicated onda ili unajmi nekog security experta da ti podesi sistem kako i kada bi doslo do includeovanja php shell skripte i dizanje nc-a da napadac ne moze da roota server, ali i redovno skidaj patcheve za sve daemone/servise koje se vrte na tvoj boxu... Nadam se da sam pomogao... |
Citat:
PHP kôd:
|
ili instaliras mod_security :) Ono sto sve zive nervira, ali radi pos'o :)
|
ma bre Ilija sta fali tome da imas niz u kome pisu sve stranice koje je moguce inkludovati...ccc, sto ste bre toliko lenji...ova omladina, sve bi automatski :D
em je znatno sigurnije, em kad otvoris kod posle x meseci znas odmah koje strane se ukljucuju za koji ulazni parametar, bez da trazis po direktorijumima i tumacis mogucnosti... |
jel to pokusavas da mi kazes da i ja trebam da stavim "old school" u svoj potpis ;) ?
|
Vreme je GMT +2. Trenutno vreme je 03:49. |
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.