Tweet
Doch, ich (wenigstens letzteres).
Bitte erleuchte mich
Bitte erleuchte mich
-
http://example.org/script.php/%3Cb%3Ehuhu%3C/b%3E
- so, und jetzt lasse in script.php mal $_SERVER['PHP_SELF'] mittels einfachem echo ausgeben ...I don't believe in rebirth. Actually, I never did in my whole lives.Kommentar
-
Naja, soweit schon klar, aber wo genau ist denn nun die Sicherheitslücke?
Das $_SERVER-Array ist fälschbar, aber was hätte jemand jetzt davon, dass das Formular oder ein Link auf http://example.org/script.php/<b>huhu</b> bzw. auf http://example.org/script.php/<script>bösefunction();</script>verweist?
Nicht mehr, als wenn er auf andere gefälschte Adressen verweist, die man mit htmlentities auch nicht verhindern kann. Oder doch?Kommentar
-
Na dass er dann Code in deine Seite einschleusen kann, der in deren Kontext ausgeführt wird - bspw., um per Javascript die Cookieinhalte deiner Nutzer, in denen du Logindaten abgelegt hast, zu klauen.Original geschrieben von ministry
Das $_SERVER-Array ist fälschbar, aber was hätte jemand jetzt davon, dass das Formular oder ein Link auf http://example.org/script.php/<b>huhu</b> bzw. auf http://example.org/script.php/<script>bösefunction();</script>verweist?
Wenn ich auf deine Seite verweise - dann vertrauen deine Nutzer der, die kennen sie schliesslich. Sie werden aber nicht auf viel mehr als auf die Domain achten - dass in den mit % kodierten Sonderzeichen schädlicher Code stecken könnte, welcher Nutzer weiss sowas schon?Nicht mehr, als wenn er auf andere gefälschte Adressen verweist,
Mit htmlentities/-specialchars verhinderst du die Interpretation von HTML, und damit auch Scriptcode.die man mit htmlentities auch nicht verhindern kann. Oder doch?I don't believe in rebirth. Actually, I never did in my whole lives.Kommentar
-
Das Prinzip ist klar.Original geschrieben von wahsaga
Na dass er dann Code in deine Seite einschleusen kann, der in deren Kontext ausgeführt wird - bspw., um per Javascript die Cookieinhalte deiner Nutzer, in denen du Logindaten abgelegt hast, zu klauen.
[...]
Mit htmlentities/-specialchars verhinderst du die Interpretation von HTML, und damit auch Scriptcode.
Trotzdem, wenn ichparsen lasse, wird nix ausgeführt. In welchem Zusammenhang könnte das eine Rolle spielen? Sowas wiePHP-Code:echo("<a href=\"" . $_SERVER['PHP_SELF'] . "/%3Cscript%3Ealert('test');%3C/script%3E\">test</a>");
?PHP-Code:echo("Sie befinden sich auf " . $_SERVER['PHP_SELF']);
(Ja, klar, ich habs jetzt händisch an den Link gehängt und nicht mein Serverarray gefälscht. Macht das den Unterschied?)Zuletzt geändert von ministry; 23.03.2007, 00:44.Kommentar
-
Natürlich.Original geschrieben von ministry
(Ja, klar, ich habs jetzt händisch an den Link gehängt und nicht mein Serverarray gefälscht. Macht das den Unterschied?)
Das eine ist eine Ausgabe, die du in deinem Script machst - von "Einschleusen" kann dann sowieso keine Rede sein.
Ausserdem sind die mit % kodierten Zeichen dort eher harmlos - weil die an der Stelle ja nicht dekodiert werden.
Bei Übergabe über einen URL werden diese aber vom Server wieder dekodiert - und wenn du das dann in deiner Seite ausgibst, dann sind das wieder die "gefährlichen" Zeichen, als die sie gedacht waren.I don't believe in rebirth. Actually, I never did in my whole lives.Kommentar
-
Ich glaube, du hast Recht - man müsste dann $_SERVER['PHP_SELF'] auf etwas wie "javascript:bösefunction()" fälschen. Geht das mit z.B. Proxomitron? Werd das am WE mal probieren. Danke für den angenehmen späten AustauschOriginal geschrieben von wahsaga
Ausserdem sind die mit % kodierten Zeichen dort eher harmlos - weil die an der Stelle ja nicht dekodiert werden.
Bei Übergabe über einen URL werden diese aber vom Server wieder dekodiert - und wenn du das dann in deiner Seite ausgibst, dann sind das wieder die "gefährlichen" Zeichen, als die sie gedacht waren.
Kommentar
-
Nein. Den Wert schickt nicht dein Client, bzw. nur indirekt - der Server erstellt ihn aus den Daten des Request, genauer der angeforderten Adresse.Original geschrieben von ministry
Ich glaube, du hast Recht - man müsste dann $_SERVER['PHP_SELF'] auf etwas wie "javascript:bösefunction()" fälschen. Geht das mit z.B. Proxomitron?
Aber "fälschen" ist auch gar nicht nötig - man muss nur dafür sorgen, dass der Server das Script findet und ausführt - und dabei nachfolgende Teile der Adresse unberücksichtigt lässt.
Und genau das passiert beim ersten Beispiel, das ich gebracht habe - der Server findet die Scriptdatei /index.php, danach kommt ein Slash und "böse" Zeichen - und die stellt er dann mit in die Umgebungsvariable rein.I don't believe in rebirth. Actually, I never did in my whole lives.Kommentar
-
Hm, doch nicht verstanden. Wieso geht dannOriginal geschrieben von wahsaga
man muss nur dafür sorgen, dass der Server das Script findet und ausführt - und dabei nachfolgende Teile der Adresse unberücksichtigt lässt.
Und genau das passiert beim ersten Beispiel, das ich gebracht habe - der Server findet die Scriptdatei /index.php, danach kommt ein Slash und "böse" Zeichen - und die stellt er dann mit in die Umgebungsvariable rein.nicht?PHP-Code:echo("<a href=\"" . $_SERVER['PHP_SELF'] . "/<script>alert('test');</script>">test</a>");
EDIT:
verkehrt - wenn man sich nicht vertippt, dann geht es sehr wohl:PHP-Code:echo("du bist auf:" . $_SERVER['PHP_SELF'] . "<br><br>");
echo("<a href=\"" . $_SERVER['PHP_SELF'] . "/<script>alert('test');</script>\">test2</a>");
danke, mal wieder was dazugelerntZuletzt geändert von ministry; 23.03.2007, 01:38.Kommentar
-
es gibt doch einen Haufen Bugreports in php.net über dieses Verhalten von $_SERVER['PHP_SELF'] bzw. $PHP_SELFKommentar
Kommentar