Komentarze do: Jak zabezpieczyć skrypt PHP/MySQL? Część 1: luka Arbitrary File Download (AFD) http://m1chu.eu/2008/09/11/jak-zabezpieczyc-skrypt-phpmysql-czesc-1-luka-arbitrary-file-download-afd/ we live, as we dream... alone - another devblog Mon, 16 Jan 2012 21:03:44 +0000 hourly 1 http://wordpress.org/?v=3.0.4 Autor: m1chu http://m1chu.eu/2008/09/11/jak-zabezpieczyc-skrypt-phpmysql-czesc-1-luka-arbitrary-file-download-afd/comment-page-1/#comment-12136 m1chu Mon, 16 Jan 2012 21:03:44 +0000 http://m1chu.eu/?p=53#comment-12136 Gdyby ktoś miał kiedyś problem z nieprawidłową wielkością pobieranego pliku, chociażby w moich, wyżej wymienionych przykładach, to radzę spróbować dodać na początku skryptu <strong>ob_start()</strong>, a przed samym <strong>readfile()</strong> linię <strong>ob_end_clean()</strong>. Gdyby ktoś miał kiedyś problem z nieprawidłową wielkością pobieranego pliku, chociażby w moich, wyżej wymienionych przykładach, to radzę spróbować dodać na początku skryptu ob_start(), a przed samym readfile() linię ob_end_clean().

]]> Autor: Pawel http://m1chu.eu/2008/09/11/jak-zabezpieczyc-skrypt-phpmysql-czesc-1-luka-arbitrary-file-download-afd/comment-page-1/#comment-5199 Pawel Fri, 09 Jul 2010 15:15:05 +0000 http://m1chu.eu/?p=53#comment-5199 Witam Na stronie http://www.rozenek.com/polski,198 opisalem podobny problem: [php]if(strpos($_REQUEST['img_name'], '/')===false && strpos($_REQUEST['article_id'], '/')===false) { header("Content-type: image/" . end($extensions)); readfile("/usr/home/sq8bgq/rozenek_img/" . $_REQUEST['article_id'] . "/" . $_REQUEST['img_name']); } else { echo "ty kradzieju"; }[/php] ### if(strpos($_REQUEST['img_name'], '/')===false && strpos($_REQUEST['article_id'], '/')===false) ### chroni przed atakiem typu: http://www.rozenek.com/,../../../../../../etc/passwd Witam

Na stronie http://www.rozenek.com/polski,198 opisalem podobny problem:

if(strpos($_REQUEST['img_name'], '/')===false &amp;&amp; strpos($_REQUEST['article_id'], '/')===false)
   {
                    header("Content-type: image/" . end($extensions));
                    readfile("/usr/home/sq8bgq/rozenek_img/" . $_REQUEST['article_id'] . "/" . $_REQUEST['img_name']);
   }
else
{
echo "ty kradzieju";
}

### if(strpos($_REQUEST['img_name'], ‘/’)===false && strpos($_REQUEST['article_id'], ‘/’)===false)
### chroni przed atakiem typu: http://www.rozenek.com/,../../../../../../etc/passwd

]]> Autor: m1chu http://m1chu.eu/2008/09/11/jak-zabezpieczyc-skrypt-phpmysql-czesc-1-luka-arbitrary-file-download-afd/comment-page-1/#comment-5167 m1chu Thu, 07 Jan 2010 15:18:44 +0000 http://m1chu.eu/?p=53#comment-5167 <strong>@Grzegorz</strong>: Tak. Chociażby dla projektów o szerokim i zarobkowym przeznaczeniu powinno się indywidualnie wprowadzać system zabezpieczeń. To co podaje ja, to tak jak napisałeś, ogólne sposoby, przykłady. Zawsze powtarzam, że nie chodzi o to, aby je kopiować, tylko żeby dzięki nim zrozumieć istotę problemu i bawić się samemu. Co do artykułu...tworzy się :] Właśnie dziś. Niestety notoryczny brak czasu powoduje, że nie mogę zasiąść do tego raz, a porządnie (chociażby na kilka dni), a muszę robić "od czasu, do czasu". <strong>@Pawel</strong>: Generalizując można by stwierdzić, że tak - wystarczy. W praktyce, <strong>może być</strong> jednak niedostateczną obroną. Dlaczego? W pewnych przypadkach funkcja ta zwraca niepoprawny wynik. Przykład: [php]$url = 'http://localhost/file.php?arg=x/x&subarg=z'; print basename($url); // zwróci: x&subarg=z[/php] Można więc wprowadzany parametr spreparować, o ile nie wykona się odpowiedniej filtracji, poprzez usunięcie ciągu po rozszerzeniu pliku. Inną sprawą jest to, że nawet w najmniejszym stopniu nie kontrolujemy tego, jakie pliki można pobierać z danego katalogu. Dopóki ktoś, kto ma dostęp do niego (nieważne nawet, czy autoryzowany, czy nie) nie wrzuci do niego niepożądanych treści, powinno być ok. Co jednak w przeciwnym przypadku? @Grzegorz:
Tak. Chociażby dla projektów o szerokim i zarobkowym przeznaczeniu powinno się indywidualnie wprowadzać system zabezpieczeń. To co podaje ja, to tak jak napisałeś, ogólne sposoby, przykłady. Zawsze powtarzam, że nie chodzi o to, aby je kopiować, tylko żeby dzięki nim zrozumieć istotę problemu i bawić się samemu. Co do artykułu…tworzy się :] Właśnie dziś. Niestety notoryczny brak czasu powoduje, że nie mogę zasiąść do tego raz, a porządnie (chociażby na kilka dni), a muszę robić „od czasu, do czasu”.

@Pawel:
Generalizując można by stwierdzić, że tak – wystarczy. W praktyce, może być jednak niedostateczną obroną. Dlaczego? W pewnych przypadkach funkcja ta zwraca niepoprawny wynik. Przykład:

$url = 'http://localhost/file.php?arg=x/x&subarg=z';
print basename($url);
// zwróci: x&subarg=z

Można więc wprowadzany parametr spreparować, o ile nie wykona się odpowiedniej filtracji, poprzez usunięcie ciągu po rozszerzeniu pliku.

Inną sprawą jest to, że nawet w najmniejszym stopniu nie kontrolujemy tego, jakie pliki można pobierać z danego katalogu. Dopóki ktoś, kto ma dostęp do niego (nieważne nawet, czy autoryzowany, czy nie) nie wrzuci do niego niepożądanych treści, powinno być ok. Co jednak w przeciwnym przypadku?

]]> Autor: Pawel http://m1chu.eu/2008/09/11/jak-zabezpieczyc-skrypt-phpmysql-czesc-1-luka-arbitrary-file-download-afd/comment-page-1/#comment-5166 Pawel Thu, 07 Jan 2010 08:46:10 +0000 http://m1chu.eu/?p=53#comment-5166 A czy nie wystarczy takie zabezpieczenia przed pobieraniem pliku z innego katalogu: [php]$file = 'zalaczniki/'.basename($_GET['name']);[/php] ? A czy nie wystarczy takie zabezpieczenia przed pobieraniem pliku z innego katalogu:

$file = 'zalaczniki/'.basename($_GET['name']);

?

]]> Autor: Grzegorz http://m1chu.eu/2008/09/11/jak-zabezpieczyc-skrypt-phpmysql-czesc-1-luka-arbitrary-file-download-afd/comment-page-1/#comment-5159 Grzegorz Mon, 07 Dec 2009 09:11:25 +0000 http://m1chu.eu/?p=53#comment-5159 W sumie racja - nie pomyślałem o takim przypadku. Pewnie dlatego, że jeszcze nigdy nie spotkałem się z takim layoutem plików, że w katalogu ./A są pliki do pobrania, a w ./A/B konfiguracja połączenia z bazą. Myślę, że takie zabezpieczenia należy robić "szyte na miarę" zabezpieczanego systemu. Ale fajnie, że podałeś sposób ogólny. Czekam na kolejne z serii zabezpieczania skryptów PHP :) W sumie racja – nie pomyślałem o takim przypadku. Pewnie dlatego, że jeszcze nigdy nie spotkałem się z takim layoutem plików, że w katalogu ./A są pliki do pobrania, a w ./A/B konfiguracja połączenia z bazą.
Myślę, że takie zabezpieczenia należy robić „szyte na miarę” zabezpieczanego systemu. Ale fajnie, że podałeś sposób ogólny. Czekam na kolejne z serii zabezpieczania skryptów PHP :)

]]> Autor: m1chu http://m1chu.eu/2008/09/11/jak-zabezpieczyc-skrypt-phpmysql-czesc-1-luka-arbitrary-file-download-afd/comment-page-1/#comment-5157 m1chu Mon, 07 Dec 2009 00:22:24 +0000 http://m1chu.eu/?p=53#comment-5157 Ok, jest to jakieś zabezpieczenie <strong>@Grzegorz</strong>. Chroni jednak przed poruszaniem się po katalogach nadrzędnych w stosunku do wywoływanego skryptu. Co jednak, jeżeli plik znajdować się będzie w jakimś podkatalogu? [php]$file = strreplace("..", "", "/zaglebiony/plik.exe"); if(!file_exists('./podkatalog/kolejny'. $file) { exit(); } // reszta kodu[/php] Co, jeżeli znajdować się w nim będą powiedzmy i pliki wykonywalne, i PHP? Warto ograniczyć wtedy możliwość pobierania wzorcem lub poprzez określenie dozwolonych rozszerzeń. Ostatecznie, aby pozbyć się zagrożenia w postaci przekazywania parametru w postaci encji lub postaci <strong>#%%</strong> warto filtrować wejściowe dane. Wszystko to jest opisane w artykule (część przykładów). Te dodatki mogą się wydać drobnostkami, ale lepiej dmuchać na zimne. Ok, jest to jakieś zabezpieczenie @Grzegorz. Chroni jednak przed poruszaniem się po katalogach nadrzędnych w stosunku do wywoływanego skryptu. Co jednak, jeżeli plik znajdować się będzie w jakimś podkatalogu?

$file = strreplace("..", "", "/zaglebiony/plik.exe");
if(!file_exists('./podkatalog/kolejny'. $file) {
exit();
}
// reszta kodu

Co, jeżeli znajdować się w nim będą powiedzmy i pliki wykonywalne, i PHP? Warto ograniczyć wtedy możliwość pobierania wzorcem lub poprzez określenie dozwolonych rozszerzeń. Ostatecznie, aby pozbyć się zagrożenia w postaci przekazywania parametru w postaci encji lub postaci #%% warto filtrować wejściowe dane. Wszystko to jest opisane w artykule (część przykładów). Te dodatki mogą się wydać drobnostkami, ale lepiej dmuchać na zimne.

]]> Autor: Grzegorz http://m1chu.eu/2008/09/11/jak-zabezpieczyc-skrypt-phpmysql-czesc-1-luka-arbitrary-file-download-afd/comment-page-1/#comment-5156 Grzegorz Thu, 03 Dec 2009 18:04:30 +0000 http://m1chu.eu/?p=53#comment-5156 Szczerze mówiąc to nie bardzo wiem po co zaproponowałeś takie sposoby zabezpieczeń? W podanym przez Ciebie podatnym przykładzie: [php] [...] header('Content-Length: ' . filesize('./podkatalog/kolejny/' . $_GET['file'])); [...] readfile('./podkatalog/kolejny/' . $_GET['file']); // ściągnięcie pliku [/php] Wystarczyło by przed na początku zrobić: [php] $file = strreplace("..", "", $_GET['file']); if(!file_exists('./podkatalog/kolejny'. $file) { exit(); } // reszta kodu [/php] Popraw mnie proszę, jeśli się mylę... Szczerze mówiąc to nie bardzo wiem po co zaproponowałeś takie sposoby zabezpieczeń?
W podanym przez Ciebie podatnym przykładzie:

[...]
	header('Content-Length: ' . filesize('./podkatalog/kolejny/' . $_GET['file']));
[...]
	readfile('./podkatalog/kolejny/' . $_GET['file']); // ściągnięcie pliku

Wystarczyło by przed na początku zrobić:

$file = strreplace("..", "", $_GET['file']);
if(!file_exists('./podkatalog/kolejny'. $file) {
 exit();
}
// reszta kodu

Popraw mnie proszę, jeśli się mylę…

]]>