• Naslovna
• FAQ
• Pravilnik
• O ES-u
• Tim
• Korisnici
• Statistike

 

• elitesecurity ::
• elitemadzone ::
• EMAIL ::
• RSS ::
• ES Mobile

  Niste ulogovani?  Username :   Password:   

• Registracija
• Zaboravili ste password?
• Flashback ▲▼
• Login problem?

 

Pretraga:

 

Srodne teme 14.04.2024. Re: Gde je Kejt? (samo pogrešni odgovori) 22.08.2001. Win98 Source Code 08.01.2002. sigurnost na mrezi 23.04.2002. C i C++ Headeri ??? 22.01.2003. Sigurnost vaseg IE-a?!? 14.06.2003. Include PATH 13.02.2004. Windows2000 sors 13.02.2004. Neobican Windows 2000 sors 04.04.2004. else include ili kako vec ide 09.04.2004. iproute2 -- problem sa kompajliranjem Navigacija Brisanje liste Aktuelne teme u ovom forumu: Problem sa translate.google.com/transl.. Centralizovana autorizacija korisnika SOAP WEB servisi Agencije za privredne.. konfiguracija limesurvey za slanje poz.. Problem oko jednostavnog query baze Problem sa učitavanjem slika i videa .. restrikcija pristupa samo na index.htm.. Count _POST prilikom prihvatanja submi.. Hitna pomoc ne radi mi veza php - mzsq.. Automatizovani web servis Kreiranje MIDI iz PHP preg_replace - ne uspevam multi line :( Skripta za zakazivanje termina u PHP Problem sa multi replace Problem Upload Image ! Izaberite forum: Linux Linux aplikacije Linux desktop okruženja Linux hardware Windows desktop Windows aplikacije Zaštita Office Windows drajveri Office :: Word Office :: Excel Macintosh Mac hardware Mac software Iphone Enterprise Networking SOHO Networking Wireless Windows mreže Linux mreže Wireless :: WiMax Wireless :: Mikrotik Wireless :: Wireless oprema Linux/UNIX serveri i servisi Unix BSD Skript jezici Security Virtualizacija Cloud Computing Services Security :: Kriptografija i enkripcija .NET 3D programiranje Art of Programming Asembler C/C++ programiranje Kernel i OS programiranje Pascal / Delphi / Kylix Java Embedded sistemi Perl PHP Python Visual Basic 6 Veštačka inteligencija Security Coding XML GameDev - Razvoj Igara Ostali programski jezici PHP :: PHP za početnike PHP :: Smarty template engine .NET :: .NET Desktop razvoj .NET :: ASP.NET .NET :: WPF Programiranje C/C++ programiranje :: C/C++ za početnike Baze podataka MySQL Oracle Access MS SQL Firebird/Interbase PostgreSQL Fiksna telefonija VoIP Udruženje korisnika teleko.. GSM - telefoni GSM - upotreba GSM - servisiranje Mreže i novosti Smartphone Mreže i novosti :: Mobilni internet Mreže i novosti :: Telenor - korisnički servis Mreže i novosti :: VIP - korisnički servis Mreže i novosti :: MTS - korisnički servis Smartphone :: Symbian OS Smartphone :: Windows Mobile Smartphone :: Android GSM - telefoni :: Nokia PDA Uređaji GPS Portable Players Anonimnost i privatnost ISP Browseri E-mail Instant Messaging FTP Google Hosting ISP :: Wireless mreže i ISP ISP :: ADSL E-mail :: Anti-spam Instant Messaging :: IRC Hosting :: Domeni Google :: Gmail E-Marketing Web aplikacije Web dizajn i CSS Web dizajn softver Web razvoj Pretraživači i SEO Flash Javascript i AJAX Web dizajn i CSS :: Kritike Grafički dizajn Izdavaštvo 3D modelovanje Rasterska grafika Vektorska grafika 3D modelovanje :: CAD/CAM Matične ploče, procesori .. Video karte i monitori Storage Ostali hardver Overclocking & Modding PC Konfiguracije Laptopovi Vodič za kupovinu - PC har.. Tablet PC Muzička produkcija Audio kompresija Audio softver Video produkcija Video kompresija Video softver Multimedijalni uređaji Digitalni fotoaparati Digitalne kamere Home Theater Digitalni fotoaparati :: Fotografija Digitalni fotoaparati :: Vodič za kupovinu - Digita.. Elektronika Elektrotehnika Elektronika :: TV uređaji Elektronika :: Radio elektronika i tehnika Elektronika :: Mikrokontroleri Elektronika :: Audio-elektronika Auto-elektronika :: Tuning Vodič za učenje Vodič za posao Vodič za emigraciju Fizika Matematika Nauka Sertifikati Informatika Vodič za učenje :: Seminarski radovi Vodič za učenje :: Obrazovne institucije Vodič za emigraciju :: Život u USA Vodič za emigraciju :: Život u Norveškoj Vodič za emigraciju :: Život u Nemačkoj E-Poslovanje E-Kupovina IT pravo i politika razvoja IT događaji IT berza poslova IS i ERP Ekonomija Berza Cryptocoins IT berza poslova :: Arhiva IT berze poslova IT pravo i politika razvoja :: Registar Nacionalnog ID E-Poslovanje :: E-Transakcije E-Poslovanje :: Forex E-Kupovina :: Platne kartice Digitalna Televizija Advocacy Ankete Predlozi i pitanja Vesti Čekaonica Vesti :: ES leto manifestacija MadZone TechZone Poljoprivreda AutoZone MotoZone Svakodnevnica Video igre MadZone :: Zanimljivi linkovi MadZone :: Kultura TechZone :: Ergonomija TechZone :: Grejanje TechZone :: Klimatizacija TechZone :: Bela tehnika AutoZone :: Fiat Panda club Lista poslednjih: 16, 32, 64, 128 poruka.

bokini Član broj: 7372 Poruke: 101 *.smin.sezampro.yu. Profil Include i sigurnost 26.11.2004. u 06:39 - pre 236 meseci Pozdrav, Dobio sam poruku od mog Hosting Provajdera da je neko preko mog sajta pokusao da hakuje neciji sajt. Rekli su mi da je razlog toga Include komanda koju sam koristio na sajtu. Evo dela koda (ostatak je vrlo slican): if ($section=="services") { if (empty($page)) { @include("services.php"); } else { @include($section."/".$page."_".$lang.".php"); } }..... Da li neko moze da mi kaze gde je problem? Da li je problem @ znak. Da li je pomocu ove Include komande moguce pristupiti i nekoj remote stranici (stranici koja nije na mom sajtu?) Na sajtu su mi iskljucili pristup toj stranici preko http-a (ftp naravno radi), i rekli su mi da ce je pustiti ponovo kada popravim to. pozdrav i hvala Odgovor na temu

boccio Boris Krstović Spoonlabs.com nbgd Član broj: 7594 Poruke: 2458 *.ptt.yu. Sajt: bocc.io +771 Profil Re: Include i sigurnost 26.11.2004. u 07:37 - pre 236 meseci Uvlaciti fajlove iz URL-a kroz include() je "disaster waiting to happen"... Ako vec hoces da se drzis toga, onda moras proveravati sta se zapravo prosledjuje kao parametar. Jedan nacin je da napravis niz "dozvoljenih" stranica za include, tipa: Code: $dozvoljeno = array( 'home', 'services', 'blabla'); if( in_array( $section, $dozvoljeno)) {   include( $section.".php"); } else {   echo 'Hack!'; }  Drugi nacin je da koristis preg_match() da proveris da li se slucajno trazi include() iz nekog drugog foldera, kao i nezeljene karaktere. lep primer imas u samoj dokumentaciji za include (zasto to ljudi nikad ne gledaju?) Code:   $path = 'pages/';   $extension = '.php';     if ( preg_match("#^[a-z0-9_]+$#i",$page) ){    $filename = $path.$page.$extension;    include($filename);   } @ znak nije problem - razlika izmedju include() i @include() je samo u tome sto druga varijanta onemogucava ispis errora u slucaju da postoji... Preporucio bih ti da prostudiras ovo, moze ti koristiti: Ten Security Checks for PHP Jeff, one day you’ll understand that it’s harder to be kind than clever. Odgovor na temu

bluesman Član broj: 4505 Poruke: 1895 *.54.EUnet.yu. +1 Profil Re: Include i sigurnost 26.11.2004. u 13:17 - pre 236 meseci Postoji citava filozofija oko include i sigurnosti i tu treba biti vrlo oprezan. Recimo ti imas neke administratorske funkcije u script "admin.php" i hoces da je includeujes? ako postavis recimo: if ($admin == 1) include "admin.php"; medjutim, ako je ukljucen register globals, on moze na tvoj script da doda: script.php?admin=1 i dobice include-ovane sve administratorske fuinkcije. Zato moras da proveris da li je setovan $_GET ili $_POST if (empty($_REQUEST['admin']) && $admin == 1) include "admin.php"; a onda u tvom scriptu proveris da je stvarno ulogovan admin i samo postavis variablu pre include: $admin = 0; if (ulogovan administrator.... ) $admin = 1; pa kada naidje na: if (empty($_REQUEST['admin']) && $admin == 1) include "admin.php"; Ukljucice i admin funkcije ali samo ako ne postoji GET, POST variabla "admin" // Napomena: ovo je vrlo prost primer u skladu sa KISS Goran Pilipović fka bluesman Odgovor na temu

bzero dev null europe Član broj: 5907 Poruke: 371 195.252.85.* Jabber: bzero@elitesecurity.org Sajt: www.google.com/search?q=b.. Profil Re: Include i sigurnost 26.11.2004. u 14:16 - pre 236 meseci Generalno, NIKAD ne veruj korisnikovom inputu. Nikad ne treba koristiti promenjive koje su stigle od korisnika (ili mogu biti modifikovane korisinikovim inputom) za bilo sta, a pogotovo direktno za pristup fajlovima na sistemu, bazi podataka, u okviru upita na bazu, za izvrsenje komandi na sistemu preko exec(), system() i sl. UVEK treba proveriti ove vrednosti pre nego sto se koriste. Konkretno, u tvom slucaju: Citat: @include($section."/".$page."_".$lang.".php"); omogucava da se otvori bilo koji fajl na sistemu koji php moze da cita. Pretpostavljam da promenjive $page i $lang mogu da se slobodno postave preko GET upita, kada se pozove strana, npr kao: http://tvoj.server/strana.php?page=XXX&lang=XXX E sad zamisli da neko pozove tvoju stranu tako da postavi $page i $lang na neke ovakve vrednosti: $page = "../../../../zabranjen/pristup/nekifajl\0"; $lang = "bilo_koja_vrednost"; tvoj include ce izgledati ovako: @include("services/../../../../zabranjen/pristup/nekifajl"); znaci u promenjivu page ubaci path to nekog fajla na sistemu, na kraj stavi null byte da odsece sve iza tvoje promenjive $page i eto ga, otvara fajlove okolo koji nemaju veze sa tvojim sajtom. Ovo je samo na brzinu primer, inace se konkretno moze uraditi na vise nacina, u zavisnosti od konfiguracije PHP-a na serveru, a ocigledno radi, jer te je i provajder upozorio na to. Never trust an operating system you don't have sources for. Odgovor na temu

bokini Član broj: 7372 Poruke: 101 *.dialup.sezampro.yu. Profil Re: Include i sigurnost 27.11.2004. u 05:06 - pre 236 meseci Hvala na odgovorima, Popravio sam sajt (vrlo mali i prost sajt) i sada radi. Od sada vodim vise racuna o ovome. Pozdrav Odgovor na temu