DevProTalk - Pogledajte određenu poruku

zark0vac · 07. 11. 2006.

Hehe..
Sto se tice zastite od rfi-a, sledece stvari su korisne da se podese kako
navedem sem ukoliko je neophodno za funkcionisanje skripte da se ne menja.

Za pocetak ako ti skripta moze bez, obavezno iskljuci potencijalno opasne funkcije:

Kôd:

disable_functions=system,exec,passthru,shell_exec

Ovime si onemogucio pokretanje php shell skripti (r57, c99..) i samim tim
ozbiljniju stetu na serveru, ali ako nisi u mogucnosti to da uradis, ali i ako
jesi, u svakom slucaju procitaj ceo post i preporucljivo je da poslusas.

Zatim nacin za zabranu pozivanja fajla van odredjenog direktorijuma se moze
odraditi sa array-om kao sto je navedeno na 1 strani, ali ako ne zelite tako,
mozda vam ovaj kod moze pomoci:

Kôd:

<?php
  $folder = 'moduli/';
  $ekst = '.php';
  $modul = str_replace(".","",$_GET["modul"]) 

  if ( file_exists($folder.$modul.$ekst) ) {
   $fajl = $folder.$modul.$ekst;
   include($fajl);
  } else {
  echo "404 Not found";
} 

?>

Postoji mogucnost da se uploaduje preko ovog koda i fajlovi koji
nisu sa .php ekstenzijom ali se nalaze u direktorijumu moduli/.
Primer:

Kôd:

http://www.serv.com/include.php?modul=nesto.txt?
# cime postaje: modul/nesto.txt?.php i zanemarena je .php ekstenzija,
# primer broj 2:
http://www.serv.com/include.php?modul=nesto.txt%00
# isto samo sto se ovime sav nastavak posle nesto.txt zanemaruje zbog
# null chara.

Za prosledjivanje vrednosti koristi $_POST umesto _request-a,
a $_get koristi samo tamo gde je namenjen, forsiraj post metod.
Zatim iskljuci register_globals i allow_url_fopen, i gledaj kod skripti

Preporucujem ti da pregledas security deo php manuala, dosta
ces nauciti o ovim napadima. Takodje se pozabavi sql injectionom,
daleko manje opasnim xss-om i komplikovanijimm csrf-om (ako je
manji projekat, csrf mozes zaobici, za sad

).

Ako imas dedicated onda ili unajmi nekog security experta da ti
podesi sistem kako i kada bi doslo do includeovanja php shell skripte
i dizanje nc-a da napadac ne moze da roota server, ali i redovno
skidaj patcheve za sve daemone/servise koje se vrte na tvoj boxu...

Nadam se da sam pomogao...

07. 11. 2006.	#16
zark0vac Rade Joksimović Professional Datum učlanjenja: 27.10.2006 Poruke: 220 Hvala: 0 1 "Hvala" u 1 poruci	Hehe.. Sto se tice zastite od rfi-a, sledece stvari su korisne da se podese kako navedem sem ukoliko je neophodno za funkcionisanje skripte da se ne menja. Za pocetak ako ti skripta moze bez, obavezno iskljuci potencijalno opasne funkcije: Kôd: disable_functions=system,exec,passthru,shell_exec Ovime si onemogucio pokretanje php shell skripti (r57, c99..) i samim tim ozbiljniju stetu na serveru, ali ako nisi u mogucnosti to da uradis, ali i ako jesi, u svakom slucaju procitaj ceo post i preporucljivo je da poslusas. Zatim nacin za zabranu pozivanja fajla van odredjenog direktorijuma se moze odraditi sa array-om kao sto je navedeno na 1 strani, ali ako ne zelite tako, mozda vam ovaj kod moze pomoci: Kôd: <?php $folder = 'moduli/'; $ekst = '.php'; $modul = str_replace(".","",$_GET["modul"]) if ( file_exists($folder.$modul.$ekst) ) { $fajl = $folder.$modul.$ekst; include($fajl); } else { echo "404 Not found"; } ?> Postoji mogucnost da se uploaduje preko ovog koda i fajlovi koji nisu sa .php ekstenzijom ali se nalaze u direktorijumu moduli/. Primer: Kôd: http://www.serv.com/include.php?modul=nesto.txt? # cime postaje: modul/nesto.txt?.php i zanemarena je .php ekstenzija, # primer broj 2: http://www.serv.com/include.php?modul=nesto.txt%00 # isto samo sto se ovime sav nastavak posle nesto.txt zanemaruje zbog # null chara. Za prosledjivanje vrednosti koristi $_POST umesto _request-a, a $_get koristi samo tamo gde je namenjen, forsiraj post metod. Zatim iskljuci register_globals i allow_url_fopen, i gledaj kod skripti Preporucujem ti da pregledas security deo php manuala, dosta ces nauciti o ovim napadima. Takodje se pozabavi sql injectionom, daleko manje opasnim xss-om i komplikovanijimm csrf-om (ako je manji projekat, csrf mozes zaobici, za sad ). Ako imas dedicated onda ili unajmi nekog security experta da ti podesi sistem kako i kada bi doslo do includeovanja php shell skripte i dizanje nc-a da napadac ne moze da roota server, ali i redovno skidaj patcheve za sve daemone/servise koje se vrte na tvoj boxu... Nadam se da sam pomogao... Poslednja izmena od zark0vac : 07. 11. 2006. u 22:46.