[HaBo]

Chakky · 04.02.07, 17:15

Hi,
ich bin gerade auf die funktion realpath(); gestoßen kurz das php handbuch gewältzt bissel informiert nur jetzt hab ich folgende frage:

bei foglendem code

PHP-Code:

  $seite = $_GET['site'];

$seite = realpath($seite".php");

include($seite);

kann man nicht einfach in ein höheres verzeichnis springen und/oder mit %00 als endung eine beliebiges file aufrufen wie zum bsp /etc/passwrd

sehe ich das richtig?

also ist die funktion "100%" sicher?

danke :)

adrian90 · 04.02.07, 19:28

Prüfe doch die Variable "$seite", wenn sie mit realpath bearbeitet ist noch, ob der der Pfad "dein unterdateienordner\" im String vorkommt. Der Befehl heisst glaubich strstr();

Anzeige

- Anzeige -

**Elderan** · 04.02.07, 19:31

Hallo,
nein die Funktion ist ___nicht____ sicher. Man darf ____nie___ den User bestimmen lassen, welche Seite eingebunden wird. Du musst immer eine List haben, mit Dateien, die eingebunden werden dürfen, ohne Probleme zu verursachen.
Alles andere ist unsicher.

Chakky · 05.02.07, 10:19

Zitat:

Original von Elderan
Hallo,
nein die Funktion ist ___nicht____ sicher. Man darf ____nie___ den User bestimmen lassen, welche Seite eingebunden wird. Du musst immer eine List haben, mit Dateien, die eingebunden werden dürfen, ohne Probleme zu verursachen.
Alles andere ist unsicher.

also eine whitelist?

wie würde ein evtl falsches includen aussehen wenn ich einfach ./../../hoeheres_verzeichnis/tst versuche zu includen geht das nich

im handbuch steht ja auch das "./" etc ausgefiltert werden...

**lightsaver** · 05.02.07, 10:42

wenn nur ./ ausgeschlossen werden, könnte sowas wie

'eineseite.php\");$seite=\"eineandereseite'

funktionieren. also muss nicht, aber möglich wäre es und vielleicht gibt es ja auch andere möglichkeiten, das zu umgehen. letztendlich muss man immer alles prüfen, wo der user manipulieren oder eingeben kann!

irgendwo hier im board gabs auch schon mindestens einmal den vorschlag, nur zahlen oder wörter zu übergeben, und dann in einem array den passenden link zu hinterlegen. dann kann definitiv niemand darüber ne nicht von dir autorisierte seite aufrufen

LX · 05.02.07, 12:09

Zitat:

Original von Chakky
im handbuch steht ja auch das "./" etc ausgefiltert werden...

"Herausfiltern" ist hier aber nur kosmetisch zu verstehen. Der Pfad wird so berechnet, dass keine ../ oder ./ darin vorkommen, bleibt aber ansonsten identisch. realpath() bietet so jedenfalls keinerlei Schutzfunktion.

Domi-ON.de · 05.03.07, 13:19

Also ich habs z.B. inner Navi bei mir so gelöst:

Code:

<?php

    $seiten = Array();

    $seiten[] = "willkommen";
    $seiten[] = "impressum";
    $seiten[] = "gaestebuch";
    $seiten[] = "news"; 
    $seiten[] = "thatsme";
    $seiten[] = "faq";
    $seiten[] = "sponsoren";
    $seiten[] = "videos";    
    
    if (isset($_GET['section']) && !empty($_GET['section'])) {

        if ( in_array($_GET['section'], $seiten) && file_exists("site/module/" . $_GET['section'] . ".php") ) {
            include("site/module/" . $_GET['section'] . ".php");
        } else {
            echo "404. Seite nicht gefunden.";
        }
    } else {
        include("site/module/" . $seiten[0] . ".php");
    }

?>

vllt hilfts als Denkanstoss!

GreeTz
Domi

Chakky · 06.03.07, 11:22

ich hatte den code nur in ner seite gefunden

habs auch mit ner white liste gemacht bei mir

Anzeige

- Anzeige -

04.02.07, 17:15	#1 (permalink)
Chakky Senior Member Registriert seit: 28.10.03 Likes: 110	realpath sicher? Anzeige Hi, ich bin gerade auf die funktion realpath(); gestoßen kurz das php handbuch gewältzt bissel informiert nur jetzt hab ich folgende frage: bei foglendem code PHP-Code: `$seite = $_GET['site']; $seite = realpath($seite".php"); include($seite);` kann man nicht einfach in ein höheres verzeichnis springen und/oder mit %00 als endung eine beliebiges file aufrufen wie zum bsp /etc/passwrd sehe ich das richtig? also ist die funktion "100%" sicher? danke :) __________________ cu Chakky we are dreaming in digital we are living in realtime we are thinking in binary we are talking in IP welcome to our world

06.03.07, 11:22	#8 (permalink)
Chakky Senior Member Themenstarter Registriert seit: 28.10.03 Likes: 110	ich hatte den code nur in ner seite gefunden habs auch mit ner white liste gemacht bei mir __________________ cu Chakky we are dreaming in digital we are living in realtime we are thinking in binary we are talking in IP welcome to our world

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Wie sicher ist WPA?	v01d	WLAN-Zone	27	07.01.07 12:20
Ist das sicher?	[starfoxx]	(Web-) Design und webbasierte Sprachen	9	05.10.05 12:41
sicher?	r4ptor	Hacks & Crackmes	9	25.09.05 22:14
Wie sicher ist PHP?	candyman	(Web-) Design und webbasierte Sprachen	9	08.01.05 00:37
AES sicher ?	Arthi	Cryptography & Encryption	1	18.09.04 16:20

04.02.07, 19:28	#2 (permalink)
adrian90 Registriert seit: 06.04.05 Likes: 0	Prüfe doch die Variable "$seite", wenn sie mit realpath bearbeitet ist noch, ob der der Pfad "dein unterdateienordner\" im String vorkommt. Der Befehl heisst glaubich strstr();

04.02.07, 19:31	#3 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, nein die Funktion ist ___nicht____ sicher. Man darf ____nie___ den User bestimmen lassen, welche Seite eingebunden wird. Du musst immer eine List haben, mit Dateien, die eingebunden werden dürfen, ohne Probleme zu verursachen. Alles andere ist unsicher.

05.02.07, 10:42	#5 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	wenn nur ./ ausgeschlossen werden, könnte sowas wie 'eineseite.php\");$seite=\"eineandereseite' funktionieren. also muss nicht, aber möglich wäre es und vielleicht gibt es ja auch andere möglichkeiten, das zu umgehen. letztendlich muss man immer alles prüfen, wo der user manipulieren oder eingeben kann! irgendwo hier im board gabs auch schon mindestens einmal den vorschlag, nur zahlen oder wörter zu übergeben, und dann in einem array den passenden link zu hinterlegen. dann kann definitiv niemand darüber ne nicht von dir autorisierte seite aufrufen

[HaBo]

realpath sicher?