Ochrana PHP skriptov a vy

pepek92 · Napísal **pepek92**: 31.12.2007 16:10

Ako sa bránite proti PHP injection vo svojich skriptoch? Aké metódy sú podľa vás účinné? Taktiež, ako sa bránite proti otváraniu nechcených PHP súborov ako sú súbory s prihlásením sa na DB a heslami? Diskusia...

Viac o PHP injection tu.

K PHP injection, include() iba cez premenné, súbory zašívam do priečinka a nepridávam do adresy príponu. Čo sa týka otvárania súborov používam metódu známu z phpBB:

Kód:

V hlavnom súbore:
define ('niečo', true);

V includovaných súboroch:
if (!defined('niečo')) { exit; }

vl4kn0 · Napísal **vl4kn0**: 31.12.2007 20:13

hej to z phpBB robim aj ja:D potom este pouzivam jednu fciu a to:

Kód:

function protect($var)
{
    foreach ($var as $k => $v)
    {
        $protected[$k] = addslashes($var[$k]);
    }
    return $protected;
}

co si vlastne ked mam nejake get a post premenne tak si ich takto osetrim a viem ze na mna ziadne sql injection neplatia.

potom este definujem premennu s priponov php

Kód:

$phpEx = substr(strstr(__FILE__, '.'), 1);

a v tom subore includujem config kde mam udaje s databazov. a a hned po scripte fciou unset() zmazem premennu heslo a table prefix.
a nazaver ked potrebujem nieco nechat len pre adminov nejake filezz tak osetrujem hned na zaciatku tak ze vyberiem session z databazi a zistim aky ma rank. ak zly tak ho presmeruje na index.
a aby som nezabudol za kazdym sql query davam

Kód:

or die(sprintf("Mysql query failed on file %s and line %d"), __FILE__, __LINE__);

chrono · Napísal **chrono**: 31.12.2007 21:09

Zobrazovanie chybových hlášok (podľa mňa) nie je najlepší nápad. Môžeš tým potencionálnemu útočníkovi prezradiť príliš veľa informácií.

vl4kn0 · Napísal **vl4kn0**: 31.12.2007 21:20

chrono píše:

Zobrazovanie chybových hlášok (podľa mňa) nie je najlepší nápad. Môžeš tým potencionálnemu útočníkovi prezradiť príliš veľa informácií.

no z toho co som dal. by si moc toho nevyrozumel. kedze si zober. nevies nazov tabulky ani databazi nic. poznas len subor. a to poznas aj na phpBB , drupal, phpfusion a mnoho dalsich, to by ma moc neiritovalo

audiotrack · Napísal **audiotrack**: 31.12.2007 22:20

vl4kn0 píše:

hej to z phpBB robim aj ja:D potom este pouzivam jednu fciu a to:

Kód:

function protect($var)
{
    foreach ($var as $k => $v)
    {
        $protected[$k] = addslashes($var[$k]);
    }
    return $protected;
}

co si vlastne ked mam nejake get a post premenne tak si ich takto osetrim a viem ze na mna ziadne sql injection neplatia.

...

by si sa dosť okakal, ale musím ťa sklamať.. addslashes je slabá ochrana.. niekde som o tom čítal článok, keby ho nájdem tak ti ho pošlem.. išlo o to, že addslashes pracuje istým princípom, a dá sa ho oklamať tak, aby niektoré znaky zle "chápal"

vl4kn0 · Napísal **vl4kn0**: 01.01.2008 1:33

ako myslim si ze na nejaky sql injection staci
ale to neznamena ze adslashes nemozem zamenit za str_replace alebo ereg_replace
kde budem odchytavat iba text a cislice. ak budem odytavat iba stringy a cilice tak uz to nemoze nikto o....t. kazdemu podla jeho chuti

ale kazdopadne. ziadna obrana nieje dokonala a vzdy sa najde nejaky spekulant ktory to dokaze "obist". napr. koho z vas napadlo ochranovat proti sql injection aj nazvy uploadovanych suborov? lebo ak niekto da vazov suboru ako select * from name_of_table where id = 0 -- ??lebo aj to je druh injections

pepek92 · Napísal autor témy **pepek92**: 01.01.2008 10:41

Ešte ma napadla zaujímavá ochrana, okrem základného define z phpBB, čo som už vyššie písal, tak aj ochrana cez $_SERVER:

Kód:

if (!defined('NIEČO') OR (
   $_SERVER['DOCUMENT_ROOT'] != '/www/***/public_html' && $_SERVER['DOCUMENT_ROOT'] != 'E:/***'))
   { exit; }

Sú tam dve rôzne "porovnávačky" s $_SERVER['DOCUMENT_ROOT'] pretože skript robím aj u seba na localhoste, ale aby to aj platilo na už skutočnom serveri...

Tominator · Napísal **Tominator**: 03.01.2008 13:56

neriešim použijes .hdacess na to aby si útočník nemohol prezerať súbor s pripojovacími nastaveniami

2. rada použite aj obmedzenia pre robotov aby vam admin stranky neindexovali

suchy · Napísal **suchy**: 03.01.2008 14:12

Citácia:

2. rada použite aj obmedzenia pre robotov aby vam admin stranky neindexovali

prave toto by som nerobil pretoze ten subor sa da velmi lahko vygooglovat a prezret, takze vies kde sa tie admin stranky nachadzaju. naopak ked o nich nemas ziadnu zmienku google ti ich neindexuje, ved ako by aj mohol ked sa k nim nevie prihlasit.

vl4kn0 · Napísal **vl4kn0**: 03.01.2008 14:16

Citácia:

a nazaver ked potrebujem nieco nechat len pre adminov nejake filezz tak osetrujem hned na zaciatku tak ze vyberiem session z databazi a zistim aky ma rank. ak zly tak ho presmeruje na index.

prvykrat citujem sam seba

ale k veci. nemyslim ze google a ani iny bota je az taky mocny hackersky nastroj ze to dokaze obist cize to bude neindexovatelne

Tominator · Napísal **Tominator**: 04.01.2008 15:02

suchy píše:

Citácia:

2. rada použite aj obmedzenia pre robotov aby vam admin stranky neindexovali

prave toto by som nerobil pretoze ten subor sa da velmi lahko vygooglovat a prezret, takze vies kde sa tie admin stranky nachadzaju. naopak ked o nich nemas ziadnu zmienku google ti ich neindexuje, ved ako by aj mohol ked sa k nim nevie prihlasit.

spravne suchy beriem späť

neopagan · Napísal **neopagan**: 22.01.2008 23:19

Hm, ja mam stranky robene tiez sposobom inckude, ale mam to takto:

Kód:

switch ($page) {
case 1:
include_once "zoznam.php";
break;
case 2:
include_once "reklama.php";
break;
.
.
.
default:
include_once "uvod.php";
break;

Cize nemam tam priamo GET, ale po includovani URL vyzera nejako takto ... /index.php?page=2. Je aj tento sposob ohrozeny?

Na niektorych strankach, kde mam uploadnute clanky, vyzera URL takto: index.php?ID=2 /kde ID je vlastne ID clanku/

Viete mi poradit jednoduchy sposob, ako toto ochranit od SQL a kadejakych inych injection?

Vdaka, rad sa poucim...

suchy · Napísal **suchy**: 23.01.2008 11:39

na tvoj konkretny skript je sql injection nepouzitelna. co sa tyka ochrany pred nim, mame tu trebars direktivu magic_quotes_gpc, alebo funkcie mysql_real_escape_string() pripadne addslashes(). zakladom ochrany je filtrovat uzivatelsky vstup, v pripade xss aj vystup. napriklad odfiltrovat nechcene tagy, ci atributy tagov, pripadne odfiltrovat vsetko okrem plaintextu. dalej je dobre mat osetrene chybove hlasenia, bo tie dokazu tiez dost napovedat a takto by sme mohli pokracovat. ohladom bezpecnosti webaplikacii je to na dlhsiu debatu, vysla o tom aj celkom zaujimava kniha Zranitelny kod.

neopagan · Napísal **neopagan**: 23.01.2008 16:16

a co napr. php injection? ked niekto dosadi namiesto adresy index.php?page=2 nejaky svoj script napr. index.php?page=http://www.necomoje.ic.cz/hack.php ako je uvedene napr. tu http://www.chill.sk/clanky/php-injection/?

Alebo druhy pripad, ked mam uz spominane index.php?ID=2 /kde ID je vlastne ID clanku/ ? Jedna vec su vstupne data, ktore sa osetrit daju, ale druha vec je ak mi namiesto adresy dosadia kadejake svoje scripty, ktore potom includuje namiesto mojich a zobrazi sa obsah mojich scriptov /napr. pomocou show source.../

kmsa · Napísal **kmsa**: 23.01.2008 17:36

ak dosadi namiesto page=2 page=http://www.necomoje.ic.cz/hack.php a ak je script cez switch tak potom hodi na uvod.php

a v tom id ak je prenasane napr: id clanku ktore ma byt otvorene tak by najjednoduchsie riesene by bolo ze preskumas to ci to je ciselna hodnota a nech tam niesu takmer ziadne znaky a dalsie a az potom to das prejst cez databazu + aj tam to dajak osetri

ale tam uz naj niekto iny hodi navod

pitrik1 · Napísal **pitrik1**: 24.01.2008 16:07

hmm... Mohli by ste mi vypisat nejake najdolezitejsie funkcie na ochranu pred hecknutim alebo niecim podobnym?

pripadne nake caste chyby zacaíatocnikov aby som sa ich vyvaroval

suchy · Napísal **suchy**: 24.01.2008 16:32

filtrovat vsetky vstupy a vystupy. najlepsie sposobom nazyvanym whitelist. znamena to odfiltrovat vsetko co nieje povolene. funkcii na osetrovanie vstupov a vystupov php zopar ma, najdes ich na php.net. pre svoje ucely si mozes dopisat vlastne. dalej je potrebne potencialne nebezpecne data skryvat pred uzivatelom, napriklad chybove hlasenia php pasera, pripadne mysql servera, neukladat mena s heslami do cookies. tiez ti pomoze kontrolovat odkial data prisli, akou metodou, ich datovy typ, atd.

pitrik1 · Napísal **pitrik1**: 24.01.2008 16:55

dikes

chiwo · Napísal **chiwo**: 28.01.2008 23:55

suchy píše:

na tvoj konkretny skript je sql injection nepouzitelna. co sa tyka ochrany pred nim, mame tu trebars direktivu magic_quotes_gpc, alebo funkcie mysql_real_escape_string() pripadne addslashes(). zakladom ochrany je filtrovat uzivatelsky vstup, v pripade xss aj vystup. napriklad odfiltrovat nechcene tagy, ci atributy tagov, pripadne odfiltrovat vsetko okrem plaintextu. dalej je dobre mat osetrene chybove hlasenia, bo tie dokazu tiez dost napovedat a takto by sme mohli pokracovat. ohladom bezpecnosti webaplikacii je to na dlhsiu debatu, vysla o tom aj celkom zaujimava kniha Zranitelny kod.

ja tu knizku mam celkom zaujimave citanie a dost ma to naucilo Neni este nieco? alebo toto ked dostanem do praxe bez chyb tak budem proti noobikom zahojeny? proti detom co si stahnu nejaky soft a idu hackovat?

co ani riadok kodu nedokazu napisat?

Lebo mi je jasne ze ked nekdo(myslim tym trosku(trosku ako trosku

) zbehlejsieho cloveka v takychto praktikach) si povie za ma hackne tak ma hackne A ak mas nejake podrobnejsie clanky k konkretnym typom problematiky tak posli linky pls

ak sa ti nechce tak nechaj tak

vl4kn0 · Napísal **vl4kn0**: 29.01.2008 13:36

chiwo píše:

ja tu knizku mam celkom zaujimave citanie a dost ma to naucilo Neni este nieco? alebo toto ked dostanem do praxe bez chyb tak budem proti noobikom zahojeny? proti detom co si stahnu nejaky soft a idu hackovat?

co ani riadok kodu nedokazu napisat?

Lebo mi je jasne ze ked nekdo(myslim tym trosku(trosku ako trosku

) zbehlejsieho cloveka v takychto praktikach) si povie za ma hackne tak ma hackne A ak mas nejake podrobnejsie clanky k konkretnym typom problematiky tak posli linky pls

ak sa ti nechce tak nechaj tak

dolezite je mysliet ako lamer co sa ti snazi naburat chod tvojej sajty.. ked vies ake prostriedky moze hacker pouzit vies aj ako sa proti nim branit

kmsa · Napísal **kmsa**: 29.01.2008 14:48

vl4kn0 píše:

dolezite je mysliet ako lamer co sa ti snazi naburat chod tvojej sajty.. ked vies ake prostriedky moze hacker pouzit vies aj ako sa proti nim branit

podobnymi slovami sa riadil kamarat mno ale nejak sa to otocilo ked zacal do toho sturat a teraz je na druhom brehu

ale nie taky lamerko ale tak trosku viacej

vl4kn0 · Napísal **vl4kn0**: 29.01.2008 16:31

kmsa píše:

podobnymi slovami sa riadil kamarat mno ale nejak sa to otocilo ked zacal do toho sturat a teraz je na druhom brehu

ale nie taky lamerko ale tak trosku viacej

ono. ked mas zaklad a nieco sa ti podari tak musis uznat ze to dost laka

mondzo · Napísal **mondzo**: 29.01.2008 17:14

ono je to pravda, ja som bol na tom tak, ze som mal vzdy strach

(zacnem nieco a odhalia ma) a nakoniec som sa ku nicomu nedostal a nic sa mi nepodarilo

.
Avsak sestrin frajer bol v tom profik, robil tuto peknu zabavku dlhe roky ale len vo veci zabavy, ziadny zarobok, no nechal toho a teraz robi v oblasti internetovej bezpecnosti.

kmsa · Napísal **kmsa**: 29.01.2008 18:58

jj prosto mas vzdy naviber ako manipulovat z informaciami ci uz pojdes cestou skodcu a mas sancu zarobyt bud prachy alebo basu abo mas sancu na pracu a moznost uplatnit nadobudnute informacie a tiez sa dostat ku peniazom

na take a rozne ine otazky by sa dalo diskutovat, takze radzej sa venujme vyhnut napadnutiu vasim strankam a informaciam

pitrik1 · Napísal **pitrik1**: 14.02.2008 7:16

Teraz som vyhrabal celkom užitočný seriál:) Je tam niečo aj o bezpečnosti atp: http://pc.server.sk/---programovanie-ph ... gory-je-19

suchy · Napísal **suchy**: 17.03.2008 18:58

zopar uzitocnych clankov o security http://www.hakin9.org/prt/view/clanky.html

Tominator · Napísal **Tominator**: 17.03.2008 20:00

suchy konečne niečo čo som potreboval ... keby mal niekto viac článkov (stručných) o hackovaní tak by som potrosil. Chcel by som to vedieť so strany útočníka. Mám Hacking bez tajemství, som na nejakej 40 strane a vôbec ma to nebaví. Pripadá mi to ako hackovanie Win95.
Ja osobne by som to chcel vedieť výborne a chcel by som si kúpiť nejakých bezpečnostných profíkov aby som to mal bezpečné ...

shaggy · Napísal **shaggy**: 17.03.2008 20:43

Ja mám knihu Zraniteľný kód a tam sa dočítaš o chýbach, ktorých sa môžeš dopustiť...

Tominator · Napísal **Tominator**: 17.03.2008 21:27

no ja sa chýb nedopúšťam

ok pozriem si ju

pepek92 · Napísal autor témy **pepek92**: 18.03.2008 17:54

shaggy píše:

Ja mám knihu Zraniteľný kód a tam sa dočítaš o chýbach, ktorých sa môžeš dopustiť...

Veľmi pekne ďakujem, už ju mám aj objednanú

Ochrana PHP skriptov a vy

Podobné témy