Virenwarnung: Wurm befällt PHP Seiten

**penizillin** · 11.01.2005, 20:48

gegenbeispiel zur anschaulichkeit.

disclaimer: don't try this at home!

PHP-Code:


include($_GET["page"]);

ist dir die gefahr klar?

**derHund** · 11.01.2005, 21:55

ich kanns nicht mehr hören.

nix gegen den threadstarter - habe nur schon seit wochen die befürchtung, daß die hoster sich verrückt machen lassen, und allow_url_fopen (o.s.ä.) deaktivieren.

wer mit der vermeintlichen sicherheitslücke untergeht, hat es nicht anders verdient. punkt.

**S.Oliver** · 11.01.2005, 23:17

So könnte eine sichere Version aussehen:

PHP-Code:


<?PHP



$incArray = array();

$incDir=opendir ('./includes/');

while ($inc = readdir ($incDir))

{

    if ($inc != '.' && $inc != '..')

    {

        $incArray[] = str_replace('.inc.php', '', $inc);

    }

}

closedir ($incDir);



if(in_array (addslashes ($_GET['inc']), $incArray))

{

    include ('./'.$include.'.inc.php');

}

else

{

    /* Hier kann ein exit rein oder ein Standardmodul wird included */

    exit('Böser Code');

}

?>

Alle erlaubten includes liegen in einem Ordner in includes und haben zusätzlich die Endung .inc.php. Wenn das alles stimmt, wird auch included.

**Wurzel** · 11.01.2005, 23:39

PHP-Code:


if(is_file($pfad_zu_meinen_includes.$_GET['datei']))

{}

wäre zu einfach?

**S.Oliver** · 12.01.2005, 02:51

jupp, wäre es, weil $_GET auch so aussehen könnte:

Code:

../../../../etc/passwd

**derHund** · 12.01.2005, 05:05

außerdem,

in sämtlichen projekten muß ich nirgends $_GET oder $_POST oder sonstige, von außen kommende sachen, includen ... ich glaub, ihr macht da was falsch

**marc75** · 12.01.2005, 07:40

mal ne frage am rande, ist es normal das ihr den Dateinamen in der URL angibt?

Muster:
domain/index.php?pfad=meine_datei

sehe keinen Grund dafür, seiten so zu bauen.

**asp2php** · 12.01.2005, 08:05

Original geschrieben von marc75
mal ne frage am rande, ist es normal das ihr den Dateinamen in der URL angibt?

Muster:
domain/index.php?pfad=meine_datei

sehe keinen Grund dafür, seiten so zu bauen.

Dafür gibts nur eine Erklärung: Anfänger

**derHund** · 12.01.2005, 08:11

sag ich doch.

edit: bezogen auf marc75

**Wurzel** · 12.01.2005, 08:50

Original geschrieben von S.Oliver
jupp, wäre es, weil $_GET auch so aussehen könnte:

Code:

../../../../etc/passwd

hups, dass das funktioniert, auf die idee bin ich noch nie gekommen.

ansonsten haben die anderen recht: man sollte so nicht includen.

**Payne_of_Death** · 12.01.2005, 12:48

Jop is_file in Verbindung mit kicken aller relativen Verzeichnispfaden würde ja schon reichen......

**PHPbeginner** · 12.01.2005, 13:12

Wie findet ihr die?

PHP-Code:


if(isset($_GET[action])){

$action = "content/".$_GET[action];

if(!file_exists($action.".php")

    || strpos($_GET[action],"://")

    || substr($_GET[action],0,1)=="/"

    || strpos($_GET[action],"/")

    )

    {

echo "Fehler!";

}

else {

    $include = $action.".php";

include "$include";

}

}

else {

include "content/start_".$tmpsite.".php";

}

**S.Oliver** · 12.01.2005, 13:12

Der Vorteil ist halt, dass man eine neue Datei hochlädt und man hat eine neue Contentseite, die man auch sofort einbinden kann, ohne erst den Quelltext ändern zu müssen. Wenn man die möglichen Werte vernünftig absichert ist es ja auch sicher, sofern man die Probleme kennt, die dabei entstehen können. Von daher halte ich das Prinzip auch für Fortgeschrittene als durchaus legitim.

**Benny-one** · 12.01.2005, 14:13

PHP-Code:


<?

if(!(strpos($HTTP_GET_VARS['site'],".."===false))    // alles was auf höhere Verzeichnisse zugreift

|| substr($HTTP_GET_VARS['site'],0,1)=="/"            // alles was auf doc-root zugreift

|| strpos($HTTP_GET_VARS['site'],"://")                // alles was Scripte von anderen Servern includet

|| !isset($HTTP_GET_VARS['site'])                    // keine Seite übergeben

|| !$HTTP_GET_VARS['site']                            // übergebene Seite ist leer

|| !file_exists($HTTP_GET_VARS['site'])                // Datei gibt es nicht

)

    {

    $HTTP_GET_VARS['site']="content/home.php";

    }

include_once($HTTP_GET_VARS['site']);

?>

von TBT, verbessert durch Wotan.

Virenwarnung: Wurm befällt PHP Seiten