[ Príspevkov: 13 ] 
AutorSpráva
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 11.01.09
Prihlásený: 19.11.17
Príspevky: 363
Témy: 178 | 178
Bydlisko: BB
NapísalOffline : 12.09.2010 12:42 | zabezpecenie eval-u?

Kód:
$file = file_get_contents($_FILES['userfile']['tmp_name']);
eval('?>'.$file.'<?');


takze mam ten spominany kod ako by som ho mohol zabezpecit napr aby niekto nemohol vlozit skodlivy kod, napr. fwrite atd...


Offline

Čestný člen
Čestný člen
zabezpecenie eval-u?

Registrovaný: 11.08.07
Príspevky: 4110
Témy: 30 | 30
Bydlisko: Brno
NapísalOffline : 12.09.2010 12:45 | zabezpecenie eval-u?

Radsej napis, co chces spravit, lebo som si takmer isty, ze nech to budes zabezpecovat, ako chces, stale sa bude dat spustit skodlivy kod.


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 11.01.09
Prihlásený: 19.11.17
Príspevky: 363
Témy: 178 | 178
Bydlisko: BB
Napísal autor témyOffline : 12.09.2010 12:53 | zabezpecenie eval-u?

alebo inak, neexistuje nejaka ina funkcia ktora by zvladla spustenie skriptu?
podobne ako eval ale bezpecnejsie? :)

skusal som na eval a funguje :)

Kód:
function my_strpos($haystack, $needle) {
     if (is_array($needle)) {
         foreach ($needle as $need) {
               if (strpos($haystack, $need) !== false) {
                       return true;
               }
         }
     }else {
          if (strpos($haystack, $need) !== false) {
                       return true;
          }
     }

     return false;
}


$file = file_get_contents($_FILES['userfile']['tmp_name']);
$field = $file;
 $arr = array("file_", "fopen", "fwrite", "file_put_", "unlink");
   if (my_strpos($field, $arr) === true) {
   die("...");
      }
     else
     {
   //echo("ok!");
      }


lenze potrebujem vsetky nebezpecne php funkcie ktore by mohol eval spustit (ako napr. na vykonanie nejakeho backup-u alebo tak) ...


Offline

Užívateľ
Užívateľ
zabezpecenie eval-u?

Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3128
Témy: 233 | 233
Bydlisko: Nové Zámky
NapísalOffline : 12.09.2010 12:57 | zabezpecenie eval-u?

Radsej napis, naco to potrebujes a co chces dosiahnut, ako pisal Duri... Lebo toto na 99% zla cesta :)


_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 11.01.09
Prihlásený: 19.11.17
Príspevky: 363
Témy: 178 | 178
Bydlisko: BB
Napísal autor témyOffline : 12.09.2010 12:57 | zabezpecenie eval-u?

precitaj si moj druhy post je editovany :)

dosiahnut chcem aby sa eval-om nic nedokazilo pri spustani :D


Offline

Užívateľ
Užívateľ
zabezpecenie eval-u?

Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3128
Témy: 233 | 233
Bydlisko: Nové Zámky
NapísalOffline : 12.09.2010 13:00 | zabezpecenie eval-u?

Ale ten napad -> spustat uploadnuty php subor EVALom je blbost....
Preto sa pytam, naco to potrebujes..


_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 11.01.09
Prihlásený: 19.11.17
Príspevky: 363
Témy: 178 | 178
Bydlisko: BB
Napísal autor témyOffline : 12.09.2010 13:00 | zabezpecenie eval-u?

pretoze dekodujem jeden php skript a na proces to tam musi byt ... :)

Kód:
$arr = array("file_", "fopen", "fwrite", "file_put_", "unlink");


to $arr je nieco ako blacklist funkcii ktore ak sa nachadzaju v php uploadnutom kode sa nespusti eval-om, teda die("...") ....


Offline

Skúsený užívateľ
Skúsený užívateľ
Obrázok užívateľa

Registrovaný: 13.11.07
Prihlásený: 20.08.16
Príspevky: 1719
Témy: 0 | 0
NapísalOffline : 12.09.2010 13:29 | zabezpecenie eval-u?

Ak dekóduješ ten skript, čo si mi poslal, tak tam eval nepotrebuješ.


Offline

Užívateľ
Užívateľ
zabezpecenie eval-u?

Registrovaný: 26.12.06
Prihlásený: 30.10.17
Príspevky: 4009
Témy: 181 | 181
Bydlisko: Nitra / Bra...
Vek: 24
NapísalOffline : 12.09.2010 14:18 | zabezpecenie eval-u?

zrejme chce spravit nieco take, ze user unho moze spustat svoje skripty, ale s obmedzeniami.

ale ajtak je to blbost, lebo ked pouzijes to tvoje osetrenie a ja tam pichnem
Kód:
$U = "u"."nlink";
$U("index.php");


_________________
Sorry za prelkepy
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 11.01.09
Prihlásený: 19.11.17
Príspevky: 363
Témy: 178 | 178
Bydlisko: BB
Napísal autor témyOffline : 12.09.2010 14:36 | zabezpecenie eval-u?

jj emer tak na toto som nemyslel ...
tak budem musiet najst inu cestu , ok dik vsetkym :)


Offline

Správca fóra
Správca fóra
zabezpecenie eval-u?

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32
NapísalOffline : 12.09.2010 14:39 | zabezpecenie eval-u?

.htaccess s disable_functions ti nepomoze?


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 11.01.09
Prihlásený: 19.11.17
Príspevky: 363
Témy: 178 | 178
Bydlisko: BB
Napísal autor témyOffline : 12.09.2010 14:42 | zabezpecenie eval-u?

stenley mas nejaky priklad?
hladam na google "disable_functions" ale nic rozumne pre htacess


Offline

Správca fóra
Správca fóra
zabezpecenie eval-u?

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32
NapísalOffline : 12.09.2010 14:54 | zabezpecenie eval-u?

Kód:
php_value disable_functions fopen,fwrite

ale zrejme to pojde nastavit, len ak mas pristup k php.ini


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
 [ Príspevkov: 13 ] 


zabezpecenie eval-u?



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

ako ukryt funkciu eval?

v PHP, ASP

9

319

22.12.2010 19:11

Flety

V tomto fóre nie sú ďalšie neprečítané témy.

Problem s funkciou eval()

v JavaScript, VBScript, Ajax

3

521

15.10.2007 9:45

Ezekiell

V tomto fóre nie sú ďalšie neprečítané témy.

eval()'d code + Invalid default value for 'log'

v PHP, ASP

2

242

21.04.2008 15:47

jaji

V tomto fóre nie sú ďalšie neprečítané témy.

Ako načítať z Edit-u do Timer-u

v Delphi, Visual Basic

13

729

29.05.2011 17:27

petercvm

V tomto fóre nie sú ďalšie neprečítané témy.

píše ´u miesto ú...

v Operačné systémy Microsoft

2

110

09.04.2013 8:47

JTB

V tomto fóre nie sú ďalšie neprečítané témy.

Zabezpečenie

v Antivíry a antispywary

2

114

18.07.2014 10:21

walther

V tomto fóre nie sú ďalšie neprečítané témy.

zabezpecenie

v Redakčné systémy

1

481

06.03.2007 21:05

masterdead

V tomto fóre nie sú ďalšie neprečítané témy.

zabezpečenie

v Ostatné

0

281

06.01.2010 20:37

Dany

V tomto fóre nie sú ďalšie neprečítané témy.

Zabezpecenie PC

v Operačné systémy Microsoft

1

241

29.04.2009 18:56

shiro

V tomto fóre nie sú ďalšie neprečítané témy.

zabezpecenie WiFi

v Siete

7

2919

28.03.2007 22:42

marzo

V tomto fóre nie sú ďalšie neprečítané témy.

zabezpecenie suborov

v Operačné systémy Microsoft

6

247

14.10.2006 16:41

hunter

V tomto fóre nie sú ďalšie neprečítané témy.

ZABEZPECENIE POCITACA

v Operačné systémy Microsoft

3

321

25.09.2006 9:26

itsgoingd

V tomto fóre nie sú ďalšie neprečítané témy.

PDF-zabezpečenie

v Ostatné programy

1

1108

28.11.2010 13:43

killer

V tomto fóre nie sú ďalšie neprečítané témy.

Zabezpecenie Ubuntu

v Operačné systémy Unix a Linux

2

270

29.09.2010 23:00

-marrek-

V tomto fóre nie sú ďalšie neprečítané témy.

Zabezpečenie fora

v Redakčné systémy

5

512

02.07.2007 15:29

Marosh08

V tomto fóre nie sú ďalšie neprečítané témy.

Zabezpecenie Windowsu

v Operačné systémy Microsoft

20

1147

22.12.2008 16:12

mkmt



© 2005 - 2017 PCforum, edited by JanoF