php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 21-01-2009, 12:06
Benutzerbild von BananaJo BananaJo
 Registrierter Benutzer
Links : Onlinestatus : BananaJo ist offline
Registriert seit: Aug 2008
Beiträge: 344
BananaJo kann nur auf Besserung hoffen
Standard Sammlung von möglichen Sicherheitslücken in PHP gesucht!

Hallo,

ich schreibe zur Zeit ein Programm, das sehr sicher sein MUSS!
Und dafür brauche ich alle möglichen Sicherheitslücken die es in PHP gibt...

Also das z.B. PHP_SELF eine sicherheitslücke ist, habe ich gehört.. aber warum ist das so?

Das ist z.B. ein Sache und ich wette es gibt noch ettliche davon, die ich NOCH nicht kenne ...

Danke für jede Hilfe!
Mit Zitat antworten
  #2 (permalink)  
Alt 21-01-2009, 12:19
jmc
 PHP Junior
Links : Onlinestatus : jmc ist offline
Registriert seit: Mar 2006
Beiträge: 868
jmc befindet sich auf einem aufstrebenden Ast
Standard

Warum sollte PHP_SELF eine Sicherheitslücke sein?
Sicherheitslücken einbauen kannst du viele, wenn du willst... aber eine PHP-Sicherheitslücke an sich ist mir beim aktuellen PHP nicht bekannt.
Mit Zitat antworten
  #3 (permalink)  
Alt 21-01-2009, 12:29
ghostgambler
 Master
Links : Onlinestatus : ghostgambler ist offline
Registriert seit: Jul 2004
Ort: DE - NRW
Beiträge: 4.620
ghostgambler ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von jmc
Warum sollte PHP_SELF eine Sicherheitslücke sein?
Per Path-Info kann man da ggf. etwas einschleusen, htmlspecialchars($_SERVER[PHP_SELF]) ist zu empfehlen.

Ansonsten: Eingaben escapen, wenn nötig. Ausgaben escapen, wenn nötig. Google "Sicherheitsücken php". Oder so.
Mit Zitat antworten
  #4 (permalink)  
Alt 21-01-2009, 12:57
Benutzerbild von fireweasel fireweasel
 Registrierter Benutzer
Links : Onlinestatus : fireweasel ist offline
Registriert seit: Sep 2008
Ort: At home
Beiträge: 851
fireweasel wird schon bald berühmt werdenfireweasel wird schon bald berühmt werden
fireweasel eine Nachricht über AIM schicken fireweasel eine Nachricht über Yahoo! schicken
Standard Re: Sammlung von möglichen Sicherheitslücken in PHP gesucht!

Zitat:
Original geschrieben von BananaJo
Hallo,

ich schreibe zur Zeit ein Programm, das sehr sicher sein MUSS!
Verwende kein PHP.
*SCNR*

Zitat:
Und dafür brauche ich alle möglichen Sicherheitslücken die es in PHP gibt...
http://php.net/manual/ listet sie alle auf. ;-)

Nee, im Ernst. Wenn du so kommst:
Zitat:
Also das z.B. PHP_SELF eine sicherheitslücke ist, habe ich gehört.. aber warum ist das so?
... dann solltest du das Schreiben dieses sehr sicheren Programms besser jemanden überlassen, der sich damit auskennt.

Falls du dir das nicht leisten kannst|willst, wären mehr Informationen zum Einsatzbereich des Scripts hilfreich. Sonst bleibts nämlich bei Allgemeinplätzen, wie:
* prüfe alle Eingabedaten (z.B. die superglobalen Arrays) und lasse nur die durch, die du benötigst|verstehst|sicher verarbeiten kannst.
* wandle Daten so um, dass sie in der Zielanwendung (Browserausgabe, Datenbank, etc.) keinen Schaden anrichten können.
* Vermeide PHP-Funktionen, die mit "unerwarteten" Eingabe-Daten nicht umgehen können (wie beispw. parse_url())
* Informiere dich allgemein über Sicherheitsprobleme die bei deinem Projekt auftreten können (bspw. XSS, SQL- und Code-Injections, Directory-Traversal-Attacks, etc. pp.)

Zitat:
Original geschrieben von ghostgambler
Per Path-Info kann man da ggf. etwas einschleusen, htmlspecialchars($_SERVER[PHP_SELF]) ist zu empfehlen.
Es gibt $_SERVER['SCRIPT_NAME'] für den relativen Pfad zum ausgeführten Script und notfalls $_SERVER['REQUEST_URI'] für die angehängten GET-Parameter. Das sollte für die Freunde des Affenformulars eigentlich ausreichen. ;-)

Und was soll das HTML-Escapen eines Dateipfades bringen?
Dass man (nur) bei der HTML-Ausgabe (für "CDATA") htmlspecialchars() benutzt, ist schon klar -- aber das gilt nicht nur für diese eine Variable ...

Geändert von fireweasel (21-01-2009 um 13:30 Uhr)
Mit Zitat antworten
  #5 (permalink)  
Alt 21-01-2009, 14:52
jmc
 PHP Junior
Links : Onlinestatus : jmc ist offline
Registriert seit: Mar 2006
Beiträge: 868
jmc befindet sich auf einem aufstrebenden Ast
Standard

Was sollte man den bei PHP_SELF einschleusen können, was jemand anderen oder das interne Script beeinflusst? Kannst du mir ein nachvollziehbares Beispiel nennen? Dass es möglich ist damit eine Sicherheitslücke zu erstellen glaube ich gerne, aber da muss man sich schon ziemlich Mühe geben und die Variable auf eine abartige Weise benutzen, oder etwa nicht?
Mit Zitat antworten
  #6 (permalink)  
Alt 21-01-2009, 15:00
ghostgambler
 Master
Links : Onlinestatus : ghostgambler ist offline
Registriert seit: Jul 2004
Ort: DE - NRW
Beiträge: 4.620
ghostgambler ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Nein, XSS-Attacken sind damit ganz einfach möglich.
Per Path-Info lassen sich z.B. Konstruktue wie
/meinephpdatei/aktion/snostwas/
bilden, wobei meinephpdatei eine Datei ohne .php-Endung ist.
Wenn man dann ein switch für aktion mit default macht und überall nur PHP_SELF ausgibt, kann man z.B.
/meinephpdatei/" /><script type="text/html">document.location = "test.htm"</script><
aufrufen, und das im Formular eingesetzt macht dann offensichtlich irgendwas ekliges raus, wenn man nicht htmlspecialchars darauf anwendet.
Mit Zitat antworten
  #7 (permalink)  
Alt 21-01-2009, 15:07
jmc
 PHP Junior
Links : Onlinestatus : jmc ist offline
Registriert seit: Mar 2006
Beiträge: 868
jmc befindet sich auf einem aufstrebenden Ast
Standard

Die Formulare kannst du ja auch ganz einfach selbst erstellen und abschicken und ausserdem würdest du damit ja wohl nur die Ausgabe bei dir selbst beeinflussen. Was stört es also, ausser dass dîe Anzeige (oder was auch immer), bei dir selbst dadurch fehlerhaft wird?
Bei deinem Beispiel ja wohl nichts.
Und bei der Verarbeitung eines Formulares, von welchem Daten auch für andere Benutzer gespeichert werden oder so muss die Eingabe ja wohl so oder so geprüft/bearbeitet werden, ob PHP_SELF oder nicht macht keinen Unterschied.
Mit Zitat antworten
  #8 (permalink)  
Alt 21-01-2009, 15:09
ghostgambler
 Master
Links : Onlinestatus : ghostgambler ist offline
Registriert seit: Jul 2004
Ort: DE - NRW
Beiträge: 4.620
ghostgambler ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Bitte informiere dich darüber was eine XSS-Attacke ist.
Wenn du das getan hast, formuliere eventuell weitere Rückfragen - NACHDEM du das Beispiel mal ausprobiert hast - bitte erneut.
Mit Zitat antworten
  #9 (permalink)  
Alt 21-01-2009, 15:33
jmc
 PHP Junior
Links : Onlinestatus : jmc ist offline
Registriert seit: Mar 2006
Beiträge: 868
jmc befindet sich auf einem aufstrebenden Ast
Standard

Ich weiss was ne XSS Attacke ist, aber die wirkt sich hier auf niemanden aus, ausser auf den, welcher die Attacke gestartet hat.Damit das bei jemand anderem "irgendwas ekliges ausmacht" müsste man zumindest einige andere Fehler bei der Verarbeitung der empfangenen Daten machen, den interne Fehler entstünden sonst keine und auch keine Ausgabefehler ausser beim Verursacher.
Das selbe gilt bei QUERY_STRING und ä.
Mit Zitat antworten
  #10 (permalink)  
Alt 21-01-2009, 18:17
Kropff
  Administrator
Links : Onlinestatus : Kropff ist offline
Registriert seit: Mar 2002
Ort: Köln
Beiträge: 11.722
Kropff befindet sich auf einem aufstrebenden Ast
Standard

vielleicht ist hier was bei?

peter
__________________
Nukular, das Wort ist N-u-k-u-l-a-r (Homer Simpson)
Meine Seite
Mit Zitat antworten
  #11 (permalink)  
Alt 21-01-2009, 19:36
ghostgambler
 Master
Links : Onlinestatus : ghostgambler ist offline
Registriert seit: Jul 2004
Ort: DE - NRW
Beiträge: 4.620
ghostgambler ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Allein schon die Weiterleitung auf eine andere Seite kann bei unbedarften Benutzern ein Sicherheitsproblem sein.
Mit Zitat antworten
  #12 (permalink)  
Alt 21-01-2009, 20:51
jmc
 PHP Junior
Links : Onlinestatus : jmc ist offline
Registriert seit: Mar 2006
Beiträge: 868
jmc befindet sich auf einem aufstrebenden Ast
Standard

Wer hat etwas von einer Weiterleitung gesagt? Ausserdem wird ja höchstens der Verursacher der Weiterleitung (wenn z.B. javascript mit Absicht in den Query eingefügt) selbst weitergeleitet.

Wenn du mir ein konkretes Beispiel geben kannst, wo nicht nur das der Fall ist und PHP_SELF eine Sicherheitslücke darstellt kannst du mir sehr gerne eines zeigen.

@Peter Kropff -> Ich finde bei deinen Beispielen nur Fehler - die noch etwas mit diesem Thema zu tun haben, welche aufgrund von nicht verarbeiteten Daten, die wiederum anderen Benutzern zur Verfgung gestellt werden, entstehen. Und dass diese Daten geprüft/bearbeitet werden müssen ist ja wohl so oder so klar, aber das hat eigentlich nichts mit dem Gebrauch der variable $_SERVER['PHP_SELF'] zu tun.
Mit Zitat antworten
  #13 (permalink)  
Alt 21-01-2009, 21:48
ghostgambler
 Master
Links : Onlinestatus : ghostgambler ist offline
Registriert seit: Jul 2004
Ort: DE - NRW
Beiträge: 4.620
ghostgambler ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von jmc
Wer hat etwas von einer Weiterleitung gesagt? Ausserdem wird ja höchstens der Verursacher der Weiterleitung (wenn z.B. javascript mit Absicht in den Query eingefügt) selbst weitergeleitet.
Hast du dir mein Beispiel überhaupt mal angesehen? Geschweige denn ausprobiert (oder auch wenigstens nur verstanden)?!
Sagt dir der Begriff Phishing etwas?

Wenn du das Potential der Attacke nicht erkennen vermagst, und das selbst erkannt hast, arbeite an deinem Wissen. Wenn du der Meinung bist das ist vollkommen irrelevant und ungefährlich, soll mir auch recht sein.
Mit Zitat antworten
  #14 (permalink)  
Alt 23-01-2009, 13:14
CadEx
 Registrierter Benutzer
Links : Onlinestatus : CadEx ist offline
Registriert seit: Jan 2006
Beiträge: 55
CadEx ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Sprachunabhängige Sicherheitslücken sind deutlich häufiger. Du suchst ganz bestimmt die.

Kurz: http://www.sans.org/top25errors/
Details: http://cwe.mitre.org/top25/

edit: BananaJo, spielst du Q3?
__________________
PHP-Code:
function verrecke_elend()
{
    die(
'Aaargh!');


Geändert von CadEx (23-01-2009 um 13:17 Uhr)
Mit Zitat antworten
  #15 (permalink)  
Alt 25-01-2009, 13:52
phpguru42
 Newbie
Links : Onlinestatus : phpguru42 ist offline
Registriert seit: Oct 2008
Beiträge: 71
phpguru42 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von jmc
Wer hat etwas von einer Weiterleitung gesagt? Ausserdem wird ja höchstens der Verursacher der Weiterleitung (wenn z.B. javascript mit Absicht in den Query eingefügt) selbst weitergeleitet.
Du hast XXS nicht ganz verstanden. Die manipulierte URL kann Dir z.B. per E-Mail geschickt werden, bei einer HTML-Mail siehst Du das nichtmal.

Hier ist auch noch ein "nettes" Beispiel:

http://blog.oncode.info/2008/05/07/p...scripting-xss/

Wenn das ein Login-Formular wäre, hätte der Angreifer die Zugangsdaten Deines Kontos.
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

ADSMAN V3 - Werbe-Manager ansehen ADSMAN V3 - Werbe-Manager

ADSMAN V3 - mehr als nur ein Bannermanager! Banner, Textanzeigen und PagePeel Manager! Mit ADSMAN PRO haben Sie die Marketinglösung für eine effektive und effiziente Werbeschaltung mit messbaren Ergebnissen. Unterstützt werden Bannerformate in beliebi

25.10.2018 virtualsystem | Kategorie: PHP/ Bannerverwaltung
PHP News und Artikel Script V2

News schreiben, verwalten, veröffentlichen. Dies ist jetzt mit dem neuen PHP News & Artikel System von virtualsystem.de noch einfacher. Die integrierte Multi-User-Funktion und der WYSIWYG-Editor (MS-Office ähnliche Bedienung) ermöglichen...

25.10.2018 virtualsystem | Kategorie: PHP/ News
Top-Side Guestbook

Gästebuch auf Textbasis (kein MySQL nötig) mit Smilies, Ip Sperre (Zeit selbst einstellbar), Spamschutz, Captcha (Code-Eingabe), BB-Code, Hitcounter, Löschfunktion, Editierfunktion, Kommentarfunktion, Kürzung langer Wörter, Seiten- bzw. Blätterfunktion, V

22.10.2018 webmaster10 | Kategorie: PHP/ Gaestebuch
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 05:40 Uhr.