Hacking: zabezpecte si svoj web - local file inclusion(LFI)
je neskory zimny vecer. bad hat hacker, inac criminal hacker(skr. cracker) sa zakrada na vas uspesny web a ...
a nic, pokial budeme dodrzovat zasady bezpecneho programovania a vychadzane z predpokladu ze vsetko co uzivatel vklada je nebezpecne. 
sposob utoku ktory si neskor pozriete vo flashovom videu nie je nicim neznamy, ale pretoze este mnoho webov obsahuje takuto vulnerability a mnoho aj v buducnosti bude obsahovat, tak som sa rozhodol vam takyto druh utoku jednoduchym sposobom popisat a coho sa treba vyvarovat.popis utoku:cely utok sa opiera o prikaz include("nejaky_subor");. tu si treba uvedomit,
ze prikazu include je jedno ci vklada do obsahu stranky nejaky php subor, alebo graficky subor, skratka jeho obsah sa vlozi a vykona. cize ak aj mame zabezpecene, ze pomocou prikazu include vkladame php stranky len z nasho webu(relativne bezpecne), moze sa nam stat ze budeme defacementovany prave localnym suborom a tym moze byt prave graficky subor od uzivatela - avatar.
cize este raz pripominam, vsetko co ide na nas web od usera je nebezpecne a tak musime ku tomu aj pristupovat!
a pre lepsiu predstavivost ako taky utok moze vyzerat v reale, vam ukazem v nasledujucom videu. pohodlne sa posadte, otvorte si pivo, zapalte cigaretu a oci majte otvorene - 57.swf. 
... nespite! 
IgorK
IgorK mal by si napísať aj dáky článok. Toto bolo veľmi super, vďaka.
Super, při sledování jsem ani nedýchal...
Díky.
dakujem chalani za povzbudive reakcie.
ok, jasne clanky budu, to som uz kedysi slubil a tak to aj dodrzim. bol som teraz dost vytazeny, takze neostavalo mi skoro na nic cas. 
clanky chcem ale koncipovat uplne od piky. cize nevyhneme sa ani veciam, ktore ako skuseni uzivatelia poznate a budete sa pri nich nudit. na druhu stranu zaciatocnikom sa mozu hodit. zacneme web hackingom az po buffer overflow(tu sa asi nevyhneme C a assembleru) a ani linux kernel nenechame na pokoji. ![]:)](https://static.poradna.net/images/smiley/evilsmile.gif)
tak ci tak pre uzivatelov poradna.net budu najskor najviac prospesne clanky o web hackingu a na tie sa najviac zameriam.
Už se těším. Hele a jak se tomu vlastně dá zabránit ?
Myslím už tomu, že je možné přistoupit do systému jen pomocí vložení obrázku.
Jde to jinak než zakázat upload ?
V ASP-čku to jedine funguje pod procedúrami SERVER.TRANSFER a SERVER.EXECUTE v inakšom prípade nie (aspoň tak som to včera skúšal), ale aj tak by som to nečakal... Musíš zabrániť tomu, aby ten obrázok server neprečítal ako PHP kód.
A toto je veľmi dobré vedieť!
napadaju ma 2 moznosti ako tomu zabranit. vlozeniu obrazku s php kodom sa sice neubranis(bolo by pomale a neefektivne parse-ovat obr.(avatar) na php kod pred vlozenim do user profile) ale mozes zabranit aby sa nevkladal do include iny kod ako tebou povoleny. skratka by si testoval pripustnost alebo nepristupnost parametra ziskaneho z GET napr. na cestu. mne sa ani tento sposob nezda moc efektivny(zbytocny if) a riesil by som to uz na urovni php enginu, ze by som v php.ini nastavil len povolene include_path. myslim ze tato ochrana by mala byt dostatocna.
Používať include na vypísanie obsahu obrázka s avatarom je riadna blbosť a ak to tak niekto robí, tak ho nezachráni ani nejaké nastavenie include_path. Include sa používa vtedy, keď chceme vykonať kód v inom súbore a nie na vkladanie obrázkov. Ak chceme poslať iba obsah súboru na výstup, tak sa v PHP použije funkcia readfile.
los, ty si to vobec nepochopil. include na vypisovanie obrazku na zaciatku vobec nebolo podstatne, bol to len demonstracny test. pozri si zaver videa a bude ti to jasnejsie.
Aha, nedopozeral som to celé.
Hezky.Dikanc.
M.