Přidat aktualitu mezi oblíbenéZasílat nové komentáře e-mailem Hacking: zabezpecte si svoj web - local file inclusion(LFI)

je neskory zimny vecer. bad hat hacker, inac criminal hacker(skr. cracker) sa zakrada na vas uspesny web a ...

a nic, pokial budeme dodrzovat zasady bezpecneho programovania a vychadzane z predpokladu ze vsetko co uzivatel vklada je nebezpecne. ;-) sposob utoku ktory si neskor pozriete vo flashovom videu nie je nicim neznamy, ale pretoze este mnoho webov obsahuje takuto vulnerability a mnoho aj v buducnosti bude obsahovat, tak som sa rozhodol vam takyto druh utoku jednoduchym sposobom popisat a coho sa treba vyvarovat.popis utoku:cely utok sa opiera o prikaz include("nejaky_subor");. tu si treba uvedomit,
ze prikazu include je jedno ci vklada do obsahu stranky nejaky php subor, alebo graficky subor, skratka jeho obsah sa vlozi a vykona. cize ak aj mame zabezpecene, ze pomocou prikazu include vkladame php stranky len z nasho webu(relativne bezpecne), moze sa nam stat ze budeme defacementovany prave localnym suborom a tym moze byt prave graficky subor od uzivatela - avatar.
cize este raz pripominam, vsetko co ide na nas web od usera je nebezpecne a tak musime ku tomu aj pristupovat!
a pre lepsiu predstavivost ako taky utok moze vyzerat v reale, vam ukazem v nasledujucom videu. pohodlne sa posadte, otvorte si pivo, zapalte cigaretu a oci majte otvorene - 57.swf. 8-)... nespite! :-pIgorK

Předmět Autor Datum
IgorK mal by si napísať aj dáky článok. Toto bolo veľmi super, vďaka.
Len tak 03.02.2007 21:34
Len tak
Super, při sledování jsem ani nedýchal... ;-) Díky.
host 03.02.2007 21:36
host
dakujem chalani za povzbudive reakcie. ;-) ok, jasne clanky budu, to som uz kedysi slubil a tak to a…
IgorK 03.02.2007 21:54
IgorK
Už se těším. Hele a jak se tomu vlastně dá zabránit ? Myslím už tomu, že je možné přistoupit do syst…
Flash_Gordon 04.02.2007 02:10
Flash_Gordon
V ASP-čku to jedine funguje pod procedúrami SERVER.TRANSFER a SERVER.EXECUTE v inakšom prípade nie (…
Len tak 04.02.2007 11:58
Len tak
napadaju ma 2 moznosti ako tomu zabranit. vlozeniu obrazku s php kodom sa sice neubranis(bolo by pom…
IgorK 04.02.2007 12:01
IgorK
Používať include na vypísanie obsahu obrázka s avatarom je riadna blbosť a ak to tak niekto robí, ta…
los 04.02.2007 23:40
los
los, ty si to vobec nepochopil. include na vypisovanie obrazku na zaciatku vobec nebolo podstatne, b…
IgorK 05.02.2007 00:17
IgorK
Aha, nedopozeral som to celé.
los 05.02.2007 19:08
los
:beer:
MKc 03.02.2007 22:18
MKc
Hezky.Dikanc.:beer: M. poslední
Mrakokopulos 08.02.2007 23:18
Mrakokopulos

dakujem chalani za povzbudive reakcie. ;-) ok, jasne clanky budu, to som uz kedysi slubil a tak to aj dodrzim. bol som teraz dost vytazeny, takze neostavalo mi skoro na nic cas. :-( clanky chcem ale koncipovat uplne od piky. cize nevyhneme sa ani veciam, ktore ako skuseni uzivatelia poznate a budete sa pri nich nudit. na druhu stranu zaciatocnikom sa mozu hodit. zacneme web hackingom az po buffer overflow(tu sa asi nevyhneme C a assembleru) a ani linux kernel nenechame na pokoji. ]:)
tak ci tak pre uzivatelov poradna.net budu najskor najviac prospesne clanky o web hackingu a na tie sa najviac zameriam. ;-)

napadaju ma 2 moznosti ako tomu zabranit. vlozeniu obrazku s php kodom sa sice neubranis(bolo by pomale a neefektivne parse-ovat obr.(avatar) na php kod pred vlozenim do user profile) ale mozes zabranit aby sa nevkladal do include iny kod ako tebou povoleny. skratka by si testoval pripustnost alebo nepristupnost parametra ziskaneho z GET napr. na cestu. mne sa ani tento sposob nezda moc efektivny(zbytocny if) a riesil by som to uz na urovni php enginu, ze by som v php.ini nastavil len povolene include_path. myslim ze tato ochrana by mala byt dostatocna.

Používať include na vypísanie obsahu obrázka s avatarom je riadna blbosť a ak to tak niekto robí, tak ho nezachráni ani nejaké nastavenie include_path. Include sa používa vtedy, keď chceme vykonať kód v inom súbore a nie na vkladanie obrázkov. Ak chceme poslať iba obsah súboru na výstup, tak sa v PHP použije funkcia readfile.

Zpět na aktuality Přidat komentář k aktualitě Nahoru