07. 11. 2006. | #11 | |
Super Moderator
Invented the damn thing
Datum učlanjenja: 06.06.2005
Poruke: 2.371
Hvala: 370
701 "Hvala" u 194 poruka
|
Citat:
|
|
07. 11. 2006. | #12 |
banned
Professional
Datum učlanjenja: 04.06.2005
Poruke: 371
Hvala: 0
738 "Hvala" u 83 poruka
|
>= PHP 5.1.0
//php.ini Kôd:
allow_url_include = Off a postoji i allow_url_fopen
__________________
Don't look at me; I'm lost too. “If you can't dazzle them with brilliance, baffle them with bul*s**t.” Poslednja izmena od Br@nkoR : 07. 11. 2006. u 20:28. |
07. 11. 2006. | #13 |
old school
Expert
Datum učlanjenja: 29.04.2006
Poruke: 464
Hvala: 39
48 "Hvala" u 28 poruka
|
hm, ja licno znam za taj allow_url_include. I nije meni problem da zastitim svoj kod protiv ovakvih napada. Stavise, nijedna moja skripta nije ranjiva na ovakav tip napada. Nego mene zanima kako da napravim skriptu koja moze se tako includuje preko url-a i da radi na server na kome je includovana
|
07. 11. 2006. | #14 |
Predrag Supurović
Grand Master
Datum učlanjenja: 24.01.2006
Lokacija: Užice
Poruke: 791
Hvala: 3
200 "Hvala" u 12 poruka
|
Pa napravis kao i svaku drugu skriptu, samo moras da joj promenis ekstenziju da tvoj server posalje php kod a da ga ne izvrsi. Ovaj drugi include-uje sors i izvrsi ga.
__________________
Peđina beležnica (blog) - www.uzice.net - wireless.uzice.net - www.vokabular.org - www.vodic.net - forum.uzice.net |
07. 11. 2006. | #15 |
old school
Expert
Datum učlanjenja: 29.04.2006
Poruke: 464
Hvala: 39
48 "Hvala" u 28 poruka
|
lele, a ja sam mislio to neki teski hack Sramota Thnx
|
07. 11. 2006. | #16 |
Rade Joksimović
Professional
Datum učlanjenja: 27.10.2006
Poruke: 220
Hvala: 0
1 "Hvala" u 1 poruci
|
Hehe..
Sto se tice zastite od rfi-a, sledece stvari su korisne da se podese kako navedem sem ukoliko je neophodno za funkcionisanje skripte da se ne menja. Za pocetak ako ti skripta moze bez, obavezno iskljuci potencijalno opasne funkcije: Kôd:
disable_functions=system,exec,passthru,shell_exec ozbiljniju stetu na serveru, ali ako nisi u mogucnosti to da uradis, ali i ako jesi, u svakom slucaju procitaj ceo post i preporucljivo je da poslusas. Zatim nacin za zabranu pozivanja fajla van odredjenog direktorijuma se moze odraditi sa array-om kao sto je navedeno na 1 strani, ali ako ne zelite tako, mozda vam ovaj kod moze pomoci: Kôd:
<?php $folder = 'moduli/'; $ekst = '.php'; $modul = str_replace(".","",$_GET["modul"]) if ( file_exists($folder.$modul.$ekst) ) { $fajl = $folder.$modul.$ekst; include($fajl); } else { echo "404 Not found"; } ?> nisu sa .php ekstenzijom ali se nalaze u direktorijumu moduli/. Primer: Kôd:
http://www.serv.com/include.php?modul=nesto.txt? # cime postaje: modul/nesto.txt?.php i zanemarena je .php ekstenzija, # primer broj 2: http://www.serv.com/include.php?modul=nesto.txt%00 # isto samo sto se ovime sav nastavak posle nesto.txt zanemaruje zbog # null chara. a $_get koristi samo tamo gde je namenjen, forsiraj post metod. Zatim iskljuci register_globals i allow_url_fopen, i gledaj kod skripti Preporucujem ti da pregledas security deo php manuala, dosta ces nauciti o ovim napadima. Takodje se pozabavi sql injectionom, daleko manje opasnim xss-om i komplikovanijimm csrf-om (ako je manji projekat, csrf mozes zaobici, za sad ). Ako imas dedicated onda ili unajmi nekog security experta da ti podesi sistem kako i kada bi doslo do includeovanja php shell skripte i dizanje nc-a da napadac ne moze da roota server, ali i redovno skidaj patcheve za sve daemone/servise koje se vrte na tvoj boxu... Nadam se da sam pomogao... Poslednja izmena od zark0vac : 07. 11. 2006. u 22:46. |
07. 11. 2006. | #17 | |
expert
Expert
|
Citat:
PHP kôd:
__________________
|
|
07. 11. 2006. | #18 |
Goran Pilipović
Sir Write-a-Lot
|
ili instaliras mod_security Ono sto sve zive nervira, ali radi pos'o
__________________
Goran Pilipović a.k.a. Ugly Fingers Bradley f.k.a. bluesman I don't always know what I'm talking about but I know I'm right! |
07. 11. 2006. | #19 |
Ivan Dilber
Sir Write-a-Lot
|
ma bre Ilija sta fali tome da imas niz u kome pisu sve stranice koje je moguce inkludovati...ccc, sto ste bre toliko lenji...ova omladina, sve bi automatski
em je znatno sigurnije, em kad otvoris kod posle x meseci znas odmah koje strane se ukljucuju za koji ulazni parametar, bez da trazis po direktorijumima i tumacis mogucnosti...
__________________
Leadership is the art of getting people to want to do what you know must be done. |
07. 11. 2006. | #20 |
Super Moderator
Invented the damn thing
Datum učlanjenja: 06.06.2005
Poruke: 2.371
Hvala: 370
701 "Hvala" u 194 poruka
|
jel to pokusavas da mi kazes da i ja trebam da stavim "old school" u svoj potpis ?
|
|
|
Slične teme | ||||
Tema | Početna poruka teme | Forum | Odgovori | Poslednja poruka |
Pokusaj hakovanja ili... | mLAN | Sva početnička pitanja | 3 | 05. 12. 2010. 23:41 |
zaštita fotografija na web-u | japan | Web aplikacije, web servisi i software | 6 | 14. 12. 2007. 18:16 |
Zaštita od DDoS napada | LiquidBrain | Web Hosting, web serveri i operativni sistemi | 16 | 05. 08. 2007. 19:52 |