Printscript? $_SERVER['HTTP_REFFERER'] vertrauen?
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
angriff
anpassung
array
ausgehen
code
datei
ende
filter
header
http
jemand
laden
sache
server
start
stehen
url
verweis
visitenkarte
zweck
-
Hi ... alsooo, ich bearbeite gerade einen Code den ich nicht geschrieben hab... PHP 5.4 updates :/
Jetzt bin ich bei nem Printscript, was eig. vieles Filtert bzw. XSS filter knall ich noch rein...
somit stellt sich die frage, ob ich mir der 2. Lücke überhaupt richtig liege und sie mich interessieren muss?
$datei = $_SERVER['HTTP_REFERER']; } If ($array = @file($datei)){ $text = @implode("",$array); .... //wird noch ausgelesen von -start- bis -ende-
Funktioniert soweit... Jedoch kann man den HTTP REFERER ja selbst bestimmen und eine andere Datei anpeilen
http://meinwebspace2134324.de/5GB.txt
In dieser steht dann -start- 5GB content -ende-... Somit würde der Server die 5GB Datei laden, remote DDOS/local DDOS ... oder sehe ich das falsch?
ABER: Gehostet wird auf nem Webspace bei 1&1, da stören mich solche sachen doch nicht?
Also => Stehen lassen oder anpassungen vornehmen?
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Welchem Zweck soll dieses Code-Stück dienen? Warum willst du das auslesen, was jemand als Referrer angibt? Was hast du mit den Daten vor?
Wichtig: wenn jemand diesen Code hier kennt, kann er ihn missbrauchen, um Angriffe gegen andere Server so zu tarnen, dass es aussieht, als ob der Angriff von deinem Server ausgehen würde.
Also ⇒ Anpassung vornehmen
Beitrag zuletzt geändert: 27.1.2014 18:03:33 von hackyourlife -
Doch, kann dich stören. Du hast ein Memory-Limit von vllt 64Mb, wenn das überschritten wird, bricht das Seite aufbauen ab. Und eine solche Datei laden geht nicht, da 5Gb >> 64Mb sind.
Und jenachdem, was du mit der Datei machst, kann das den Server ganzschön lahmen, und in den AGB wird sicher stehen, du darfst keine Serverbeanspruchenden Sachen laufen lassen (das steht in fast allen AGB).
Also => Anpassungen vornehmen, bzw am besten Code direkt weglassen, wegen irgendwie kein offensichtlicher Sinn.
Liebe Grüße -
den sinn habe ich auch nich ganz verstanden... auf der vor seite ist halt ein Benutzer (a la visitenkarte) und wen man auf print drückt erstellt er ein dokument mit nem header und der visitenkarte und nem footer...
eig. müsste das javascript seitig gehen.. drucke das div element aus oder so? oder liege ich da falsch? -
Ja, das kannst du auch so mit Javascript.
Dafür kannst du jQuery mit diesem Plug-in nutzen: http://projects.erikzaadi.com/jQueryPlugins/jQuery.printElement/
Damit wäre die Umsetzung in Javascript am leichtesten.
Liebe Grüße -
Ist so nicht sicher, da es mit einfachen Tricks möglich ist den HTTP Header zu fälschen, wodurch es dann möglich ist auf jede beliebige Datei zu verweisen.
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
