Hacking: zabezpecte si svoj web - local file inclusion(LFI)

je neskory zimny vecer. bad hat hacker, inac criminal hacker(skr. cracker) sa zakrada na vas uspesny web a ...

a nic, pokial budeme dodrzovat zasady bezpecneho programovania a vychadzane z predpokladu ze vsetko co uzivatel vklada je nebezpecne. sposob utoku ktory si neskor pozriete vo flashovom videu nie je nicim neznamy, ale pretoze este mnoho webov obsahuje takuto vulnerability a mnoho aj v buducnosti bude obsahovat, tak som sa rozhodol vam takyto druh utoku jednoduchym sposobom popisat a coho sa treba vyvarovat.popis utoku:cely utok sa opiera o prikaz include("nejaky_subor");. tu si treba uvedomit,
ze prikazu include je jedno ci vklada do obsahu stranky nejaky php subor, alebo graficky subor, skratka jeho obsah sa vlozi a vykona. cize ak aj mame zabezpecene, ze pomocou prikazu include vkladame php stranky len z nasho webu(relativne bezpecne), moze sa nam stat ze budeme defacementovany prave localnym suborom a tym moze byt prave graficky subor od uzivatela - avatar.
cize este raz pripominam, vsetko co ide na nas web od usera je nebezpecne a tak musime ku tomu aj pristupovat!
a pre lepsiu predstavivost ako taky utok moze vyzerat v reale, vam ukazem v nasledujucom videu. pohodlne sa posadte, otvorte si pivo, zapalte cigaretu a oci majte otvorene - 57.swf. ... nespite! IgorK

Zdroj: http://str0ke213.tradebit.com/ a ja :)

Jsou zobrazeny jen nové komentáře. Zobrazit všechny

Předmět	Autor	Datum
dakujem chalani za povzbudive reakcie. ;-) ok, jasne clanky budu, to som uz kedysi slubil a tak to a… IgorK 03.02.2007 21:54	IgorK	03.02.2007 21:54
Už se těším. Hele a jak se tomu vlastně dá zabránit ? Myslím už tomu, že je možné přistoupit do syst… Flash_Gordon 04.02.2007 02:10	Flash_Gordon	04.02.2007 02:10
Používať include na vypísanie obsahu obrázka s avatarom je riadna blbosť a ak to tak niekto robí, ta… nový los 04.02.2007 23:40	los	04.02.2007 23:40
los, ty si to vobec nepochopil. include na vypisovanie obrazku na zaciatku vobec nebolo podstatne, b… nový IgorK 05.02.2007 00:17	IgorK	05.02.2007 00:17
Aha, nedopozeral som to celé. nový los 05.02.2007 19:08	los	05.02.2007 19:08
Hezky.Dikanc.:beer: M. poslední Mrakokopulos 08.02.2007 23:18	Mrakokopulos	08.02.2007 23:18

dakujem chalani za povzbudive reakcie. ok, jasne clanky budu, to som uz kedysi slubil a tak to aj dodrzim. bol som teraz dost vytazeny, takze neostavalo mi skoro na nic cas. clanky chcem ale koncipovat uplne od piky. cize nevyhneme sa ani veciam, ktore ako skuseni uzivatelia poznate a budete sa pri nich nudit. na druhu stranu zaciatocnikom sa mozu hodit. zacneme web hackingom az po buffer overflow(tu sa asi nevyhneme C a assembleru) a ani linux kernel nenechame na pokoji.
tak ci tak pre uzivatelov poradna.net budu najskor najviac prospesne clanky o web hackingu a na tie sa najviac zameriam.

Už se těším. Hele a jak se tomu vlastně dá zabránit ?
Myslím už tomu, že je možné přistoupit do systému jen pomocí vložení obrázku.
Jde to jinak než zakázat upload ?

Používať include na vypísanie obsahu obrázka s avatarom je riadna blbosť a ak to tak niekto robí, tak ho nezachráni ani nejaké nastavenie include_path. Include sa používa vtedy, keď chceme vykonať kód v inom súbore a nie na vkladanie obrázkov. Ak chceme poslať iba obsah súboru na výstup, tak sa v PHP použije funkcia readfile.

los, ty si to vobec nepochopil. include na vypisovanie obrazku na zaciatku vobec nebolo podstatne, bol to len demonstracny test. pozri si zaver videa a bude ti to jasnejsie.

Aha, nedopozeral som to celé.

Hezky.Dikanc.
M.

Zpět na aktuality Přidat komentář k aktualitě Nahoru