'Include-Attacken'

[Cyberm@ster]

Was haltet ihr davon, die Dateien in ein Array zu schreiben und zu includen wenn sie dort existieren? Ich finde das klingt gut, denn es ist schön übersichtlich und scheinbar auch nicht zu manipulieren.

Das hab ich bei Quakenet gefunden

 

[fetzer]

Original von Cyberm@ster
Was haltet ihr davon, die Dateien in ein Array zu schreiben und zu includen wenn sie dort existieren? Ich finde das klingt gut, denn es ist schön übersichtlich und scheinbar auch nicht zu manipulieren.

Das hab ich bei Quakenet gefunden

Natürlich kannst du das. Es gibt viele Methoden, sowas zu unterbinden. Der Nachteil bei deiner Lösung ist einfach, dass die Dateien dem Programmierer bekannt sein müssen. Eine andere Lösung wäre einfach, ob die Datei sich in einem bestimmten Verzeichnis auf der lokalen Festplatte befinden. Wenn ja wird sie geladen, wenn nein, wird ein Fehler ausgegeben.
Es gibt natürlich - wie gesagt - noch 100erte anderer Möglichkeiten, z.b. auch über die PHP Config, oder apache/php module, usw.

 

[Cyberm@ster]

Eine andere Lösung wäre einfach, ob die Datei sich in einem bestimmten Verzeichnis auf der lokalen Festplatte befinden.

Daran hatte ich auch schon gedacht, ich weiss aber (noch) nicht wie das geht

 

[fetzer]

<? 
if(file_exists("/var/www/verzeichnis/".addslashes($_GET['section']).".php")) 
{
include(....);
}
 ?>

Beispielsweise...

//edit...
file_exists() wäre da wohl doch besser geeignet kommt mir gerade so....

 

[Cyberm@ster]

ok danke

 

[LX]

Das verhindert aber auch nicht, für $_GET['section'] einen Pfad mit '../' anzugeben und so beliebige andere PHP-Dateien einbinden zu lassen.

 

[Cyberm@ster]

Das heisst wenn auf dem Malware-Server die gleiche Verzeichnisstruktur ist wie auf deinem Server kann man trotzdem eine Datei mit Schadcode einbinden und ausführen?!

 

[fetzer]

Original von LX
Das verhindert aber auch nicht, für $_GET['section'] einen Pfad mit '../' anzugeben und so beliebige andere PHP-Dateien einbinden zu lassen.

ouch... mein fehler. hab angenommen, dass /-zeichen auch escaped werden, deswegen das addslashes... :O
naja wenigstens lassen sich so keine entfernten dateien includen, geschweige denn wichtige Nicht-PHP-Dateien einlesen... Rest kommt ja darauf an, wie der Programmierer sein Projekt aufgebaut hat.