PHP-Code testen - Versucht diese Seite zu hacken
lima-city → Forum → Sonstiges → Spam und sonstiges Unvergütetes
beachten
befehl
beispiel
benutzen
code
datei
entwickeln
fehler
funktion
gefundene sicherheitsprobleme
hacken
http
index
moderator
server
test
testen
url
versuchen
zahl
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Ihr könnt jetzt eure eigene Beispiele von externe Seiten verlinken.
Siehe z.B. Beispiele 1 aus meinen ersten Beitrag in diesen Thread. Die "Update"-Funktion könnt ihr benutzen, wenn sich etwas geändert hat.
Also zeigt mir eure Beispiele.
P.S. es wurden schon lange keine Sicherheitslücken gefunden!
Also strengt euch an! -
ich werd wenn ich zeit hab mal wieder gucken , aber momentan grad nich^^
-
jacr schrieb:
Ihr könnt jetzt eure eigene Beispiele von externe Seiten verlinken.
Siehe z.B. Beispiele 1 aus meinen ersten Beitrag in diesen Thread. Die "Update"-Funktion könnt ihr benutzen, wenn sich etwas geändert hat.
Also zeigt mir eure Beispiele.
P.S. es wurden schon lange keine Sicherheitslücken gefunden!
Also strengt euch an!
Nach wie vor eine Art XSS ;)
Aber du könntest doch beim ersten Besuch einen Hinweis ANzeigen, das die Seite zum testen von PHP-Codes ist und die Inhalte nicht von dir Stammen, dann wärst du auf der sicheren Seite ;) -
thomasba schrieb:
jacr schrieb:
Ihr könnt jetzt eure eigene Beispiele von externe Seiten verlinken.
Siehe z.B. Beispiele 1 aus meinen ersten Beitrag in diesen Thread. Die "Update"-Funktion könnt ihr benutzen, wenn sich etwas geändert hat.
Also zeigt mir eure Beispiele.
P.S. es wurden schon lange keine Sicherheitslücken gefunden!
Also strengt euch an!
Nach wie vor eine Art XSS ;)
Aber du könntest doch beim ersten Besuch einen Hinweis ANzeigen, das die Seite zum testen von PHP-Codes ist und die Inhalte nicht von dir Stammen, dann wärst du auf der sicheren Seite ;)
Dachtest du dir das so ungefähr?
-
ajacr schrieb:
thomasba schrieb:
jacr schrieb:
Ihr könnt jetzt eure eigene Beispiele von externe Seiten verlinken.
Siehe z.B. Beispiele 1 aus meinen ersten Beitrag in diesen Thread. Die "Update"-Funktion könnt ihr benutzen, wenn sich etwas geändert hat.
Also zeigt mir eure Beispiele.
P.S. es wurden schon lange keine Sicherheitslücken gefunden!
Also strengt euch an!
Nach wie vor eine Art XSS ;)
Aber du könntest doch beim ersten Besuch einen Hinweis ANzeigen, das die Seite zum testen von PHP-Codes ist und die Inhalte nicht von dir Stammen, dann wärst du auf der sicheren Seite ;)
Dachtest du dir das so ungefähr?
Genau, dann kann keiner solche link verschicken und dadurch vortäuschen, das es auf deiner Seite ist:
http://tinyurl.com/bg4dez -
Wer hat folgendes Skript geschrieben?
<? $od = 'o' . 'pendi' . 'r'; $dh = $od # ('.'); while ($entry = readdir($dh)) { if ('..' === $entry || '.' === $entry) { continue; } echo htmlspecialchars($entry), is_dir('./'. $entry) ? '[DIR]' : '','<br />'; } $ul = 'unl'.'ink'; $ul # ('./save/3171618ad57bfa57bc0a7abdac9ef0981e27a40f.txt'); ?>
Man lernt immer wieder hinzu.
Aber das geht jetzt auch nicht mehr. ;) -
Jetzt gibt es auch eine Datenbank.
Beispiele 4:
<? $dbname="db_23655_2"; $dbhost="mysql.lima-city.de"; $dbuser="USER23655"; $dbpass="passwort"; mysql_connect($dbhost,$dbuser,$dbpass); mysql_select_db($dbname); ?>
Beitrag zuletzt geändert: 19.2.2009 9:41:33 von jacr -
ajacr schrieb:
Wer hat folgendes Skript geschrieben?
Dreimal darfst du raten ...
Und sei froh, dass ich zu faul war, meine Spuren zu verwischen ...
Mit vollem Zugriff auf alle Dateien wäre das sicher möglich gewesen.
Man lernt immer wieder hinzu.
Ich bin ja eigentlich viel zu faul für solche Spielchen. Aber als ich in deine Quelltexte schaute, fielen mir die komischen Regulären Ausdrücke auf, mit denen anscheinend das Ausführen von bestimmten Funktionen verhindert werden sollte. Und am Anfang konnte ich mir absolut nicht vorstellen, warum in einem Funktionsaufruf ein Slash was Böses darstellen sollte. Bis ich dann auf den Kommentar kam. Und da war mir offensichtlich einer mehr bekannt als dir.
Auf die Idee, dass man statt
bla = irgendeine_funktion();
auch schreiben kann
bla = irgendeine_funktion // ();
muss man aber wirklich erstmal kommen ...
Aber das geht jetzt auch nicht mehr. ;)
Wollen wir hoffen, dass es nicht noch andere Möglichkeiten gibt. Ich weiß schon, warum ich Blacklisting nur selten für eine gute Idee halte.
Übrigens wäre es eine gute Idee, wenn du deine Scripts (alle, die man sich anschauen/runterladen kann) mit einer Versionsnummer (und einem Datum) versehen könntest. Ich kucke mir sowas lieber auf meinem eigenen (lokalen) WebServer an. Und da muss ich immer aufpassen, ob ich noch mit der aktuellsten Variante der Scripte arbeite.
*nachschieb* (2009-03-02)
An der gleichen Stelle befindet sich übrigens immer noch ein etwa scheunentorgroßes Sicherheitsleck.
Für'n Proof-of-Concept bin ich zu faul, aber du solltest dich mal intensiver mit variablen Variablen befassen -- oder besser: Mit Whitelisting.
Beitrag zuletzt geändert: 2.3.2009 22:19:02 von alopex -
Und wieder ist es weg ... :P
PS: Gibt hierzu nen Source-Code? Mich würde es interessieren welche Lücken du abdeckst und welche nicht. -
nikic schrieb:
Und wieder ist es weg ... :P
PS: Gibt hierzu nen Source-Code? Mich würde es interessieren welche Lücken du abdeckst und welche nicht.
Ich hab gerade auf einer meiner Festplatten das von mir verwendete (geringfügig modifizierte) Script in der Ausführung vom 2. März 2009 gefunden. Interesse? -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
