| | |
| Stránka: 1 z 1
| [ Príspevkov: 13 ] | |
Autor | Správa |
---|
Registrovaný: 11.01.09 Prihlásený: 17.07.22 Príspevky: 371 Témy: 181 Bydlisko: BB | Napísal d0.0b: 12.09.2010 12:42 | |
|
Kód: $file = file_get_contents($_FILES['userfile']['tmp_name']); eval('?>'.$file.'<?');
takze mam ten spominany kod ako by som ho mohol zabezpecit napr aby niekto nemohol vlozit skodlivy kod, napr. fwrite atd...
|
|
Registrovaný: 11.08.07 Príspevky: 4088 Témy: 34 Bydlisko: Brno | Napísal Ďuri: 12.09.2010 12:45 | |
|
Radsej napis, co chces spravit, lebo som si takmer isty, ze nech to budes zabezpecovat, ako chces, stale sa bude dat spustit skodlivy kod.
|
|
Registrovaný: 11.01.09 Prihlásený: 17.07.22 Príspevky: 371 Témy: 181 Bydlisko: BB | Napísal autor témy d0.0b: 12.09.2010 12:53 | |
|
alebo inak, neexistuje nejaka ina funkcia ktora by zvladla spustenie skriptu?
podobne ako eval ale bezpecnejsie?
skusal som na eval a funguje
Kód: function my_strpos($haystack, $needle) { if (is_array($needle)) { foreach ($needle as $need) { if (strpos($haystack, $need) !== false) { return true; } } }else { if (strpos($haystack, $need) !== false) { return true; } }
return false; }
$file = file_get_contents($_FILES['userfile']['tmp_name']); $field = $file; $arr = array("file_", "fopen", "fwrite", "file_put_", "unlink"); if (my_strpos($field, $arr) === true) { die("..."); } else { //echo("ok!"); }
lenze potrebujem vsetky nebezpecne php funkcie ktore by mohol eval spustit (ako napr. na vykonanie nejakeho backup-u alebo tak) ...
|
|
Registrovaný: 09.09.07 Prihlásený: 07.11.16 Príspevky: 3114 Témy: 233 Bydlisko: Nové Zámky |
Radsej napis, naco to potrebujes a co chces dosiahnut, ako pisal Duri... Lebo toto na 99% zla cesta
_________________ "It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 11.01.09 Prihlásený: 17.07.22 Príspevky: 371 Témy: 181 Bydlisko: BB | Napísal autor témy d0.0b: 12.09.2010 12:57 | |
|
precitaj si moj druhy post je editovany
dosiahnut chcem aby sa eval-om nic nedokazilo pri spustani
|
|
Registrovaný: 09.09.07 Prihlásený: 07.11.16 Príspevky: 3114 Témy: 233 Bydlisko: Nové Zámky |
Ale ten napad -> spustat uploadnuty php subor EVALom je blbost....
Preto sa pytam, naco to potrebujes..
_________________ "It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 11.01.09 Prihlásený: 17.07.22 Príspevky: 371 Témy: 181 Bydlisko: BB | Napísal autor témy d0.0b: 12.09.2010 13:00 | |
|
pretoze dekodujem jeden php skript a na proces to tam musi byt ...
Kód: $arr = array("file_", "fopen", "fwrite", "file_put_", "unlink");
to $arr je nieco ako blacklist funkcii ktore ak sa nachadzaju v php uploadnutom kode sa nespusti eval-om, teda die("...") ....
|
|
Registrovaný: 13.11.07 Prihlásený: 20.08.16 Príspevky: 1702 Témy: 0 | Napísal chrono: 12.09.2010 13:29 | |
|
Ak dekóduješ ten skript, čo si mi poslal, tak tam eval nepotrebuješ.
|
|
Registrovaný: 26.12.06 Prihlásený: 16.11.19 Príspevky: 3971 Témy: 181 Bydlisko: Nitra / Bra... | Napísal emer: 12.09.2010 14:18 | |
|
zrejme chce spravit nieco take, ze user unho moze spustat svoje skripty, ale s obmedzeniami.
ale ajtak je to blbost, lebo ked pouzijes to tvoje osetrenie a ja tam pichnem Kód: $U = "u"."nlink"; $U("index.php");
_________________ Sorry za prelkepy |
|
Registrovaný: 11.01.09 Prihlásený: 17.07.22 Príspevky: 371 Témy: 181 Bydlisko: BB | Napísal autor témy d0.0b: 12.09.2010 14:36 | |
|
jj emer tak na toto som nemyslel ...
tak budem musiet najst inu cestu , ok dik vsetkym
|
|
Registrovaný: 27.07.07 Príspevky: 3948 Témy: 51 Bydlisko: Bratislava |
.htaccess s disable_functions ti nepomoze?
_________________ NTB: Acer Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB | RAM: 8GB DDR3 1066 MHz | HDD: 1TB SSD WD BLUE |
|
Registrovaný: 11.01.09 Prihlásený: 17.07.22 Príspevky: 371 Témy: 181 Bydlisko: BB | Napísal autor témy d0.0b: 12.09.2010 14:42 | |
|
stenley mas nejaky priklad?
hladam na google "disable_functions" ale nic rozumne pre htacess
|
|
Registrovaný: 27.07.07 Príspevky: 3948 Témy: 51 Bydlisko: Bratislava |
Kód: php_value disable_functions fopen,fwrite
ale zrejme to pojde nastavit, len ak mas pristup k php.ini
_________________ NTB: Acer Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB | RAM: 8GB DDR3 1066 MHz | HDD: 1TB SSD WD BLUE |
|
| Stránka: 1 z 1
| [ Príspevkov: 13 ] | |
| Nemôžete zakladať nové témy v tomto fóre Nemôžete odpovedať na témy v tomto fóre Nemôžete upravovať svoje príspevky v tomto fóre Nemôžete mazať svoje príspevky v tomto fóre
|
|