Knud: wie kann ich die Sicherheit meiner Scripts testen?

SELF-Forum

wie kann ich die Sicherheit meiner Scripts testen?

Knud
Informationen zu den Bewertungsregeln

Hallo,

ich hab ein kleines reines PHP-Projekt im Internet realisiert, dass ich hier aber noch nicht weiter bekanntgeben möchte.
Vorher würde ich gerne mal sie Sicherheit der Scripts gegenüber irgendwelchen Angriffen testen.

Ich hab da mal irgendwas gelesen, wo es möglich gewesen sein soll, sich das /etc/passwd per mail schicken zu lassen, oder betraf das nur cgi-php?

Weiß jemand Quellen, wo sowas nochmal explizit nachzulesen ist, bzw. was für Tests ich fahren könnte?

Liebe Grüße,

Knud

Beitrag melden
Informationen zu den Bewertungsregeln

  1. wie kann ich die Sicherheit meiner Scripts testen?

    lulu
    Informationen zu den Bewertungsregeln

    Huhu Knud

    Ich hab da mal irgendwas gelesen, wo es möglich gewesen sein soll, sich das /etc/passwd per mail schicken zu lassen, oder betraf das nur cgi-php?

    Das geht z.B. wenn man ein downloadskript hat dem man mittels Parameter einen kompletten Pfad übergibt.

    In etwa  <a href="/phps/download.php?PATH=/downloads/thisfile.doc">Get this File</a>

    Wenn das jetzt unschön programmiert ist geht dann auch soetwas:

    /phps/download.php?PATH=/downloads/../../secretfile.doc

    Also z.B. zwei Verzeichnissebenen höher und es tun sich ungeahnte Möglichkeiten auf.

    Das kann man aber leicht verhindern wenn man alle Pfade mit Hilfe von realpath überprüft oder noch besser z.B. nur eine ID an das Skript übermittelt welches dann die entsprechenden Infos aus einer DB holt, und dann die gewünschte Datei "durchschleift".

    Vielleicht findest Du ja auch hier etwas

    http://www.zend.com/zend/art/art-oertli.php

    Viele Grüße

    lulu

    Beitrag melden
    Informationen zu den Bewertungsregeln