Komentarze do: Jak zabezpieczyć skrypt PHP/MySQL? Część 1: luka Arbitrary File Download (AFD) http://m1chu.eu/2008/09/11/jak-zabezpieczyc-skrypt-phpmysql-czesc-1-luka-arbitrary-file-download-afd/ we live, as we dream... alone - another devblog Sun, 29 Aug 2010 20:35:51 +0000 hourly 1 http://wordpress.org/?v=abc Autor: Pawel http://m1chu.eu/2008/09/11/jak-zabezpieczyc-skrypt-phpmysql-czesc-1-luka-arbitrary-file-download-afd/comment-page-1/#comment-5199 Pawel Fri, 09 Jul 2010 15:15:05 +0000 http://m1chu.eu/?p=53#comment-5199 Witam Na stronie http://www.rozenek.com/polski,198 opisalem podobny problem: if(strpos($_REQUEST['img_name'], '/')===false && strpos($_REQUEST['article_id'], '/')===false) { header("Content-type: image/" . end($extensions)); readfile("/usr/home/sq8bgq/rozenek_img/" . $_REQUEST['article_id'] . "/" . $_REQUEST['img_name']); } else { echo "ty kradzieju"; } ### if(strpos($_REQUEST['img_name'], '/')===false && strpos($_REQUEST['article_id'], '/')===false) ### chroni przed atakiem typu: http://www.rozenek.com/,../../../../../../etc/passwd Witam

Na stronie http://www.rozenek.com/polski,198 opisalem podobny problem:

if(strpos($_REQUEST['img_name'], ‘/’)===false && strpos($_REQUEST['article_id'], ‘/’)===false)
{
header(„Content-type: image/” . end($extensions));
readfile(„/usr/home/sq8bgq/rozenek_img/” . $_REQUEST['article_id'] . „/” . $_REQUEST['img_name']);
}
else
{
echo „ty kradzieju”;
}

### if(strpos($_REQUEST['img_name'], ‘/’)===false && strpos($_REQUEST['article_id'], ‘/’)===false)
### chroni przed atakiem typu: http://www.rozenek.com/,../../../../../../etc/passwd

]]> Autor: m1chu http://m1chu.eu/2008/09/11/jak-zabezpieczyc-skrypt-phpmysql-czesc-1-luka-arbitrary-file-download-afd/comment-page-1/#comment-5167 m1chu Thu, 07 Jan 2010 15:18:44 +0000 http://m1chu.eu/?p=53#comment-5167 <strong>@Grzegorz</strong>: Tak. Chociażby dla projektów o szerokim i zarobkowym przeznaczeniu powinno się indywidualnie wprowadzać system zabezpieczeń. To co podaje ja, to tak jak napisałeś, ogólne sposoby, przykłady. Zawsze powtarzam, że nie chodzi o to, aby je kopiować, tylko żeby dzięki nim zrozumieć istotę problemu i bawić się samemu. Co do artykułu...tworzy się :] Właśnie dziś. Niestety notoryczny brak czasu powoduje, że nie mogę zasiąść do tego raz, a porządnie (chociażby na kilka dni), a muszę robić "od czasu, do czasu". <strong>@Pawel</strong>: Generalizując można by stwierdzić, że tak - wystarczy. W praktyce, <strong>może być</strong> jednak niedostateczną obroną. Dlaczego? W pewnych przypadkach funkcja ta zwraca niepoprawny wynik. Przykład: [php]$url = 'http://localhost/file.php?arg=x/x&subarg=z'; print basename($url); // zwróci: x&subarg=z[/php] Można więc wprowadzany parametr spreparować, o ile nie wykona się odpowiedniej filtracji, poprzez usunięcie ciągu po rozszerzeniu pliku. Inną sprawą jest to, że nawet w najmniejszym stopniu nie kontrolujemy tego, jakie pliki można pobierać z danego katalogu. Dopóki ktoś, kto ma dostęp do niego (nieważne nawet, czy autoryzowany, czy nie) nie wrzuci do niego niepożądanych treści, powinno być ok. Co jednak w przeciwnym przypadku? @Grzegorz:
Tak. Chociażby dla projektów o szerokim i zarobkowym przeznaczeniu powinno się indywidualnie wprowadzać system zabezpieczeń. To co podaje ja, to tak jak napisałeś, ogólne sposoby, przykłady. Zawsze powtarzam, że nie chodzi o to, aby je kopiować, tylko żeby dzięki nim zrozumieć istotę problemu i bawić się samemu. Co do artykułu…tworzy się :] Właśnie dziś. Niestety notoryczny brak czasu powoduje, że nie mogę zasiąść do tego raz, a porządnie (chociażby na kilka dni), a muszę robić „od czasu, do czasu”.

@Pawel:
Generalizując można by stwierdzić, że tak – wystarczy. W praktyce, może być jednak niedostateczną obroną. Dlaczego? W pewnych przypadkach funkcja ta zwraca niepoprawny wynik. Przykład:

$url = 'http://localhost/file.php?arg=x/x&subarg=z';
print basename($url);
// zwróci: x&subarg=z

Można więc wprowadzany parametr spreparować, o ile nie wykona się odpowiedniej filtracji, poprzez usunięcie ciągu po rozszerzeniu pliku.

Inną sprawą jest to, że nawet w najmniejszym stopniu nie kontrolujemy tego, jakie pliki można pobierać z danego katalogu. Dopóki ktoś, kto ma dostęp do niego (nieważne nawet, czy autoryzowany, czy nie) nie wrzuci do niego niepożądanych treści, powinno być ok. Co jednak w przeciwnym przypadku?

]]> Autor: Pawel http://m1chu.eu/2008/09/11/jak-zabezpieczyc-skrypt-phpmysql-czesc-1-luka-arbitrary-file-download-afd/comment-page-1/#comment-5166 Pawel Thu, 07 Jan 2010 07:46:10 +0000 http://m1chu.eu/?p=53#comment-5166 A czy nie wystarczy takie zabezpieczenia przed pobieraniem pliku z innego katalogu: <code> $file = 'zalaczniki/'.basename($_GET['name']);</code> ? A czy nie wystarczy takie zabezpieczenia przed pobieraniem pliku z innego katalogu:
$file = 'zalaczniki/'.basename($_GET['name']);
?

]]> Autor: Grzegorz http://m1chu.eu/2008/09/11/jak-zabezpieczyc-skrypt-phpmysql-czesc-1-luka-arbitrary-file-download-afd/comment-page-1/#comment-5159 Grzegorz Mon, 07 Dec 2009 09:11:25 +0000 http://m1chu.eu/?p=53#comment-5159 W sumie racja - nie pomyślałem o takim przypadku. Pewnie dlatego, że jeszcze nigdy nie spotkałem się z takim layoutem plików, że w katalogu ./A są pliki do pobrania, a w ./A/B konfiguracja połączenia z bazą. Myślę, że takie zabezpieczenia należy robić "szyte na miarę" zabezpieczanego systemu. Ale fajnie, że podałeś sposób ogólny. Czekam na kolejne z serii zabezpieczania skryptów PHP :) W sumie racja – nie pomyślałem o takim przypadku. Pewnie dlatego, że jeszcze nigdy nie spotkałem się z takim layoutem plików, że w katalogu ./A są pliki do pobrania, a w ./A/B konfiguracja połączenia z bazą.
Myślę, że takie zabezpieczenia należy robić „szyte na miarę” zabezpieczanego systemu. Ale fajnie, że podałeś sposób ogólny. Czekam na kolejne z serii zabezpieczania skryptów PHP :)

]]> Autor: m1chu http://m1chu.eu/2008/09/11/jak-zabezpieczyc-skrypt-phpmysql-czesc-1-luka-arbitrary-file-download-afd/comment-page-1/#comment-5157 m1chu Mon, 07 Dec 2009 00:22:24 +0000 http://m1chu.eu/?p=53#comment-5157 Ok, jest to jakieś zabezpieczenie <strong>@Grzegorz</strong>. Chroni jednak przed poruszaniem się po katalogach nadrzędnych w stosunku do wywoływanego skryptu. Co jednak, jeżeli plik znajdować się będzie w jakimś podkatalogu? [php]$file = strreplace("..", "", "/zaglebiony/plik.exe"); if(!file_exists('./podkatalog/kolejny'. $file) { exit(); } // reszta kodu[/php] Co, jeżeli znajdować się w nim będą powiedzmy i pliki wykonywalne, i PHP? Warto ograniczyć wtedy możliwość pobierania wzorcem lub poprzez określenie dozwolonych rozszerzeń. Ostatecznie, aby pozbyć się zagrożenia w postaci przekazywania parametru w postaci encji lub postaci <strong>#%%</strong> warto filtrować wejściowe dane. Wszystko to jest opisane w artykule (część przykładów). Te dodatki mogą się wydać drobnostkami, ale lepiej dmuchać na zimne. Ok, jest to jakieś zabezpieczenie @Grzegorz. Chroni jednak przed poruszaniem się po katalogach nadrzędnych w stosunku do wywoływanego skryptu. Co jednak, jeżeli plik znajdować się będzie w jakimś podkatalogu?

$file = strreplace("..", "", "/zaglebiony/plik.exe");
if(!file_exists('./podkatalog/kolejny'. $file) {
exit();
}
// reszta kodu

Co, jeżeli znajdować się w nim będą powiedzmy i pliki wykonywalne, i PHP? Warto ograniczyć wtedy możliwość pobierania wzorcem lub poprzez określenie dozwolonych rozszerzeń. Ostatecznie, aby pozbyć się zagrożenia w postaci przekazywania parametru w postaci encji lub postaci #%% warto filtrować wejściowe dane. Wszystko to jest opisane w artykule (część przykładów). Te dodatki mogą się wydać drobnostkami, ale lepiej dmuchać na zimne.

]]> Autor: Grzegorz http://m1chu.eu/2008/09/11/jak-zabezpieczyc-skrypt-phpmysql-czesc-1-luka-arbitrary-file-download-afd/comment-page-1/#comment-5156 Grzegorz Thu, 03 Dec 2009 17:04:30 +0000 http://m1chu.eu/?p=53#comment-5156 Szczerze mówiąc to nie bardzo wiem po co zaproponowałeś takie sposoby zabezpieczeń? W podanym przez Ciebie podatnym przykładzie: <code> [...] header('Content-Length: ' . filesize('./podkatalog/kolejny/' . $_GET['file'])); [...] readfile('./podkatalog/kolejny/' . $_GET['file']); // ściągnięcie pliku </code> Wystarczyło by przed na początku zrobić: <code> $file = strreplace("..", "", $_GET['file']); if(!file_exists('./podkatalog/kolejny'. $file) { exit(); } // reszta kodu </code> Popraw mnie proszę, jeśli się mylę... Szczerze mówiąc to nie bardzo wiem po co zaproponowałeś takie sposoby zabezpieczeń?
W podanym przez Ciebie podatnym przykładzie:

[...]
header('Content-Length: ' . filesize('./podkatalog/kolejny/' . $_GET['file']));
[...]
readfile('./podkatalog/kolejny/' . $_GET['file']); // ściągnięcie pliku

Wystarczyło by przed na początku zrobić:

$file = strreplace("..", "", $_GET['file']);
if(!file_exists('./podkatalog/kolejny'. $file) {
exit();
}
// reszta kodu

Popraw mnie proszę, jeśli się mylę…

]]> Autor: m1chu http://m1chu.eu/2008/09/11/jak-zabezpieczyc-skrypt-phpmysql-czesc-1-luka-arbitrary-file-download-afd/comment-page-1/#comment-5144 m1chu Tue, 01 Dec 2009 13:46:21 +0000 http://m1chu.eu/?p=53#comment-5144 Faktycznie. Twórc<strong>ą</strong> możesz być Ty, ja, każda pojedyncza osoba, a nie grupa. Błąd oczywiście poprawiłem. Dzięki za jego wskazanie :] Co do hiperpoprawności. Nie widzę przeciwwskazań jeżeli ktoś się takową dewizą kieruje, o ile nie robi tego z jakimś przesadnym chełpieniem. Sam na pewno taką osobą nie jestem, bo po prostu robię za dużo błędów (szczególnie w kwestii znaków interpunkcyjnych). Po prostu staram się pisać tak, żeby dało się to czytać bez włączania jakiegoś dodatkowego deszyfratora ;] Faktycznie. Twórcą możesz być Ty, ja, każda pojedyncza osoba, a nie grupa. Błąd oczywiście poprawiłem. Dzięki za jego wskazanie :]

Co do hiperpoprawności. Nie widzę przeciwwskazań jeżeli ktoś się takową dewizą kieruje, o ile nie robi tego z jakimś przesadnym chełpieniem. Sam na pewno taką osobą nie jestem, bo po prostu robię za dużo błędów (szczególnie w kwestii znaków interpunkcyjnych). Po prostu staram się pisać tak, żeby dało się to czytać bez włączania jakiegoś dodatkowego deszyfratora ;]

]]>