Protezioni script da infiltrazioni Hacker

FOPEN

Ciao a tutti...
io ho iniziato a studiare php da poco leggendo alcune guide
per aprire scrivere e chiudere i files

Codice:

<?
$messaggio=$_POST['messaggio'];
?>

<?
$var=fopen("nome_file.txt","a+");
fwrite($var, "$messaggio");
fclose($var);
?>

Penso non ci sia bisogno di postare anche la pagina .html di invio

come faccio a proteggere questo semplice script?

grazie

[karl94]

Questo script non ha bisogno di essere protetto, non ci sono possibili modi di sfruttarlo per eseguire codice pericoloso. Semplicemente apre un preciso file .txt e vi aggiunge in fondo il contenuto della variabile POST messaggio. Piuttosto puoi eliminare qualche riga di codice inutile:

Codice PHP:

<?php
$var = fopen("nome_file.txt", "a");
fwrite($var, $_POST['messaggio']);
fclose($var);
?>

[sevenjeak]

I script che hanno bisogno di protezione sono ad esempio, quelli che lavorano su variabile get, accodate negli url della pagina e quindi modificabili e altri, purtroppo ora mi viene solo questo di esempio.

Ma da quello che posso presumere lo script ti serve per inserire messaggi tipo nel guestbook vero? se si dovresti proteggere lo script che visualizza tutti i messaggi, disattivando l'html ad esempio, per evitare che inseriscono del codice che non desideri.

ah ecco i Get ne avevo a volontà...
e per gli include (forse si devono mettere dentro array?)

<? include("nome_file.txt"); ?>

sono piccoli script che prendevo dalla guida allweb
sono molto facili per chi è alle prime armi.

Quali sono i comandi oltre GET che sono facilmente attaccabili
dagli hacker?

[sevenjeak]

Per l'include potresti prima verificare che quello che te voi includere esista nel tuo ftp.

[karl94]

Non ha importanza se un dato viene trasemsso via GET o POST, l'importante è l'uso che se ne fa.
Per esempio, se tu usi l'include, quel file verrà processato come PHP, quello stesso file nel quale un malintenzionato può scrivere tutto il codice malevolo che vuole. Se vuoi solo scrivere il contenuto devi usare un altro modo, come la funzione file_get_contents, la funzione include (o require) processa ed esegue il codice contenuto nel file, pertanto non gli devi mai passare un file che potrebbe essere modificato dall'esterno.

Avevo creato il messenger che mandava le variabili da flash alla pagina php
che a sua volta memorizzava il contenuto nel file txt.

Come il codice che ho postato prima.
Il sistema di trasferimento era il POST

Stessa cosa per la ricezione

________ricezione__________

loadVariablesNum("indirizzo_pagina_del_file.txt", 0);

ogni 3 secondi leggevo in flash i nuovi messaggi.

________ invio_____________

nel filmato flash vi sono delle caselle di input
in cui l'utente scrive un messaggio...
queste caselle di input non sono altro
che variabili che vengono spedite
da flash ad una pagina php la quale scrive nel file txt

Basta avere un decompiler per trasformare il filmato swf
in file soregente (.fla) leggere l'indirizzo della pagina di destinazione (php)
mentre le variabili essendo uguali a flash si può scoprire il loro nome

[karl94]

Scrivi il codice di tutti i files .php che utilizzavi.

anche quelli per il database
INSERTTO e SELECT?

sono quelli di webmasterpoint

________________________

<?php
$query = "SELECT * FROM `nometabella` where citta='parigi'";

mysql_connect("localhost", "", "") or die ("Could not connect to database");
mysql_select_db("my_nomedatabase") or die ("Connot select database");

$risultato = mysql_query($query) or die (mysql_error());

echo "<table border=1 width=\"50%\">";
echo "<tr>";

for($i = 0; $i <= mysql_num_fields($risultato, $i); $i++) {
echo "<td>".mysql_field_name($risultato)."</td>";
}

echo "<tr>";

while($fetch = mysql_fetch_array($risultato, $i)) {
echo "<tr>";
foreach($fetch as $var) {
echo "<td>".$var."</td>\n";
}
echo "</tr>";
}

echo "</table>";

?>

questo è uno

_____


ecco quello di webmasterpoint uguale indentico sempre come select

<?php

// dati per la connessione al database

$db_host = "localhost";
$db_user = "";
$db_password = "";
$db_name = "agenzia";

// connessione al database

$db = mysql_connect ($db_host, $db_user, $db_password);
$db_forum = mysql_select_db ($db_name, $db);

$query = "SELECT `nome`, `cognome`, `datanascita` FROM `agenti` ORDER BY `cognome`";

$query_results = mysql_query($query);
$i = 0;

while($fetch = mysql_fetch_array($query_results))
{
$i++;
echo "&nome".$i."=".$fetch['nome']."<br>";
echo "&cognome".$i."=".$fetch['cognome']."<br>";
echo "&datanascita".$i."=".$fetch['datanascita']."<br>";
}

if($i)
{
echo "&i=".$i;
echo "&ok=1";
echo "&stop=1";
}

else
{
echo "&ok=0";
echo "&stop=1";
}

?>

------------ mentre in flash -------------------------------------

on(release)
{
loader = new loadVars();
loader.load("script.php");
loader.onLoad = function(success) {
if(success)
{
if(this.ok)
{
_root.nome.htmlText = "";
_root.cognome.htmlText = "";
_root.datanascita.htmlText = "";
for(var j = 1; j <= this.i; j++)
{
_root.nome.htmlText += eval("this.nome" + j);
_root.cognome.htmlText += eval("this.cognome" + j);
_root.datanascita.htmlText += eval("this.datanascita" + j);
}
_root.output.text = "ok";
}
else
{
_root.nome.htmlText = "";
_root.cognome.htmlText = "";
_root.datanascita.htmlText = "";
_root.output.text = "error";
}
}
}
}

questi script sono sicuri?
sono uguali indentici da webmasterpoint

[sevenjeak]

Per esempio, se tu usi l'include, quel file verrà processato come PHP.

Esatto, a questo non avevo pensato, e pensare che: io l'include lo utilizzavo per inserire codice php presente in un file txt, stranamente non ci ho pensato, cmq, almeno che non si usa un'altra vulnerabilità per inserire codice php nel file txt può essere anche usato, ma ti consiglio, di usare file_get_contents() come ti hanno consigliato, non si sa mai.

Cmq, per non far elaborare il codice php, html e javascript credo che basti sostituire i simboli: < e >, ovvero i rispettivi simboli di apertura e chiusura di ogni tag html, php e javascript, con il loro rispettivo codice ascii, o semplicemente scrivendo nel file di testo utilizzando la funzione htmlentities().

Cmq, nei codice php, per me non c'è nessuna vulnerabilità, visto che da quello che vedo non prende nulla dall'esterno.

ma quindi in coclusione il mio sbaglio è stato la creazione di pagine dinamiche con GET?
posso mettere altri script?
anche se allungo un po la discussione?

[karl94]

ma quindi in coclusione il mio sbaglio è stato la creazione di pagine dinamiche con GET?
posso mettere altri script?
anche se allungo un po la discussione?

Non proprio, non hai pensato come i tuoi codici potessero essere usati per altri fini. Scrivi tutti i codici che usavi, così ti possiamo dire dove erano i problemi.

.....
_____________
Funzione ISSET

Codice:

<form method="post" action="<?php echo $_SERVER['PHP_SELF'];?>">
Name : <input name="username" type="text"><br>
Password : <input name="password" type="password"><br>
<input name="send" type="submit" value="Send!">
</form>


<?php


//The form above use $_SERVER['PHP_SELF'] as the action value. It is not required for the form to perform correctly but it's considered good programming practice to use it.
//Below is the PHP code used to access form values :
 

if(isset($_POST['send'])){


   echo "Accessing username using POST : " .         $_POST['username'] . "<br>";
   echo "Accessing username using REQUEST : " .         $_REQUEST['username'] . "<br>";

   $password = $_POST['password'];
   echo "Password is $password";
}
?>

dunque questo + un semplice form (mese di agosto) avevo iniziato a studiare la funzione isset
collegata al pulsate di questo form per evitare righe vuote o messaggi di errore in un login.
Adesso ho tutto in locale non so se funziona.


__________________________________



funzione CASE (questo mi serviva per eseguire diverse funzioni)
in base a quello che scrive l'utente nella casella di input)

Codice:

<?php

$task = $_POST['task'];
$textbox = $_POST['textbox'];

switch( $task ) {
case 'continue':
doContinue($textbox);
break;
case 'process':
doProcess($textbox);
break;
case 'cancel':
doCancel();
break;
default:
doForm();
}

function doForm() {
?>
<form method="post" action="">
<INPUT type="text" name="textbox" size="20"><BR>
<input type="submit" name="task" value="continue">
</form>
<?php
}

function doProcess($textbox) {
echo "<BR>You typed <b>$textbox</b> in the textbox; press continue too continue or cancel too reset\n";
?>
<FORM method="post" action="">
<input type="submit" name="task" value="continue">
<input type="submit" name="task" value="cancel">
</form>
<?php
}

function doContinue($textbox) {
echo "<BR>You typed <b>$textbox</b>\n";
}

function doCancel() {
echo "CANCEL";
}

?>

_________________________________________

FORM AUTENTICAZIONI tutto in php
un semplice form tutto in php sempre con la funzione isset (che mi piace molto eh eh)

Codice:

<form action='<? echo $PHP_SELF; ?>'>
Nome utente: <input name='Nome' value=''>
Password: <input type='Password' name='Password' value=''>
<input type='submit' name='OK' value=' OK '>
<?
if (isset($OK) && ($Password == 'segret99')) echo "$Nome è autenticato";
if (isset($OK) && ($Password != 'segret99')) echo "$Nome NON è autenticato";
?>
</form>

___________________________________________
INVIARE UNA FOTO IN UNA CARTELLA SUL WEB
lo script era in due pagine... l'ho modificato mettendo ho messo tutto in uno

Codice:

TUTTO IN UNA PAGINA PHP


<?php

if(!empty($_POST)){
$percorso = "./image/";
if (is_uploaded_file($_FILES['image']['tmp_name'])) {
if (move_uploaded_file($_FILES['image']['tmp_name'], $percorso.$_FILES['image']['name'])) {
  
  } else {
  echo "si è verificato un errore durante l'upload: ".$_FILES["image"]["error"];
  }
}

echo "<img src='$percorso".$_FILES['image']['name']."'  />";
}else {
    form_file();
    }

function form_file(){
echo <<<HT
   <form action="form-image.php" method="POST" enctype="multipart/form-data">
   <!-- Campo file di nome "image" -->
   <input name="image" type="file" size="40" />    
   <br /><br />
   <!-- Pulsante -->
   <input name="upload" type="submit" value="Carica immagine" />
   </form>
HT;
}

?>

Ps naturalmente questi script non so se funzionano sono tutto in locale
nel mio forum nella sezione PHP là funzionano sicuro.
Naturalmente gli esempi non ci sono più. Tutto cancellato.
Per il momento mi fermo qui poi stasera in caso ne inserisco altri.

ciao e grazie a tutti

[sevenjeak]

Bhe, non saprei, non gli ho visti tutti i codici, ma credo, che nel FORM AUTENTICAZIONI te ti sia semplificato la vita ma abbia semplificato la vita di che riesce a vedere il codice dello script.

Se in qualche modo dovrebbero accedere ai codice dei tuoi file in quello script non è difficile vedere la password, io, ti consiglio di mettere quella password dentro ad un file di testo e di criptarla, poi ovviamente prima della condizione che controlla la password la decripti.

P.S.: Scusa, forse sono io che sbaglio, ma a cosa ti serve il primo codice, da quello che vedo, se non sbaglio, stampa solo la password che hai inserito nel modulo.

[karl94]

Lo script pericoloso è l'ultimo: permette ad un malintenzionato di creare un qualsiasi file nel server, anche un file PHP. Poiché viene anche reso noto l'intero URL, il malintenzionato può richiamare il suo script PHP ed eseguirlo per fare ciò che preferisce.
Per rimediare, devi proibire le estensioni pericolose (.php).

[sevenjeak]

Infatti, solo ora ho avuto il tempo di leggere il codice.

In'oltre a quello consigliato potresti permettere l'upload solo di immagine in questo modo:

http://www.alessioluffarelli.it/guid...e_immagini.php

Cioè permette l'upload di file in formato immagine (jpg, png, ecc.. ).

in questa cartella metterò i vostri script
cosi sto più tranquillo

Lo script pericoloso è l'ultimo: permette ad un malintenzionato di creare un qualsiasi file nel server, anche un file PHP. Poiché viene anche reso noto l'intero URL, il malintenzionato può richiamare il suo script PHP ed eseguirlo per fare ciò che preferisce.
Per rimediare, devi proibire le estensioni pericolose (.php).

@karl94: per esempio il seguente script non specifica il tipo di file da inviare e quindi si può mandare anche un file php

<input name="image" type="file" size="40" />

--------------------------------------------

P.S.: Scusa, forse sono io che sbaglio, ma a cosa ti serve il primo codice, da quello che vedo, se non sbaglio, stampa solo la password che hai inserito nel modulo.

@sevenjeak: è lo script originale trovato nel web serviva per imparare
la funzione isset. Le pagine php sono eseguibili all'avvio per evitare messaggi di errore o righe vuote.
L'echo viene sostituito con header(...indirizzo area protetta...)

In'oltre a quello consigliato potresti permettere l'upload solo di immagine in questo modo:

http://www.alessioluffarelli.it/guid...e_immagini.php

Cioè permette l'upload di file in formato immagine (jpg, png, ecc.. ).

mi sono segnato il link.

PS: d'ora in poi userò questo nuovo script in caso devo inviare
foto nella cartella.
@seven: ti ho mandato un mp.

poi continuo con altri script


TEXTAREA INVIO - TEXTAREA RICEVE

Codice:

Form d'invio
tabellaarea-php_new.php


<div align=center>

<form action="textarea-php_new_elabora.php" method="POST">

Titolo: <input size=85 type="text" name="titolo"><br>
<textarea name='messaggio' cols='70' rows='15'> </textarea><br>

<input type="submit" value="invia"> <input type="reset" value="cancella">
</form>



Pagina php che elabora + reindirizzamento alla pagina ricevente
textarea-php_new_elabora.php

tra 5 secondi reindirizzamento alla pagina ricevente... <br><font color=blue>tabellaarea-php_new.php </font>
<? header('refresh: 5; url=tabellaarea-php_new.php');  ?>

<?
$_POST['titolo'];
$_POST['messaggio'];
?>

<?
$var=fopen("deposito-textarea_new.php","a+");

fwrite($var, "<font color=blue>titolo=$titolo </font><br>messaggio=$messaggio <br> 
---------------------------------- <br> <?
header('refresh: 5; url=tabellaarea-php_new.php');  ?>");
fclose($var);

?>



Pagina ricevente su tabella che si ridimensiona
tabellaarea-php_new.php

<div align=center>

<? 
$titolo=$_POST['titolo'];
$messaggio=$_POST['messaggio'];

?>
<font color=red SIZE=6>LA LEZIONE DEL GIORNO</FONT><br>
.<br>


<table border=5 width=500 heigh=200>

<tr><td valign=top>  <? include("deposito-textarea_new.php"); ?>   </td></tr>

</table>
oppure include dentro la textarea
<textarea name="riceve" rows=20 cols=40 value="<? include('deposito-textarea_new.php');  ?>">  </textarea>

tabellaarea-php_new.php ----> textarea-php_new_elabora.php ----> deposito-textarea_new.php

Adesso devo aprire una nuova sezione sul mio forum
"PHP protetti (con la foto di un lucchetto)" quindi
gli script che considerati sicuri li andrò pubblicando.

[sevenjeak]

Lo script dovrebbe essere sicuro, almeno che: non inseriscono del codice nel file di testo, io per essere sicuro di consiglierei, come sempre, di sostituire, tramite php, i tag < e > con il loro rispettivo codice ascii.

Sai come fare?

P.S.: Non mi è arrivato nessun pm.

Lo script dovrebbe essere sicuro, almeno che: non inseriscono del codice nel file di testo, io per essere sicuro di consiglierei, come sempre, di sostituire, tramite php, i tag < e > con il loro rispettivo codice ascii.

Sai come fare?

ehm... no.

Ho bisogno di vedere qualke esempio.
grazie.

[sevenjeak]

Purtroppo qualche link di riferimento non ne ho, ma potresti fare cosi:

Codice PHP:

<?
// Le tue variabili passate tramite metodo post
$titolo = $_POST['titolo'];
$messaggio = $_POST['messaggio'];

/*
Sostituisci i caratteri < e > con i loro rispettivi codice ascii, per farli leggere come testo anche se contenuti in un codice, ovvero:

· &lt; che in codice ascii sta per <
· &gt; che in codice ascii sta per >
*/
$titolo = str_replace("<", "&lt;", $titolo);
$titolo = str_replace(">", "&gt;", $titolo)
$messaggio = str_replace("<", "&lt;", $messaggio);
$messaggio = str_replace(">", "&gt;", $messaggio);
// Per poi inserirli nel file di testo.
?>

Bhe... in effetti dovrebbe bastare sostituire solo il carattere <, che apre tutti i tag e apre il tag del php.

In poche parole ho utilizzato la funzione str_replace() che sostituisce il primo parametro con il secondo all'interno del terso, non so se mi sono spiegato.

P.S.: Al posto di sostituire i caratteri potresti utilizzare la funzione htmlentities()

P.P.S.: Se mi hai inviato un pm ti dispiace rimandarlo, non mi è arrivato nulla.

ok.
Ora trascrivo il tuo script nel mio forum

PS: al messaggio privato mi avevi risposto,
comunque te lo rimando.

altri script...
COMMENTI

Codice:

------------------form-commenti.html-----------------
<form  action="elabora.php" method="POST">
<input type="text" name="messaggio">
<input type="submit" value="scrivi commento">
</form>
---------------------elabora.php----------------------------

<?
$_POST['messaggio'];

?>

<?
$var=fopen("commenti.php","a+");
fwrite($var, "$messaggio <br />");
fclose($var);

?>
<div align=center> 
<a href="http://maxgiulia.altervista.org/max/08-agosto/prova2/commenti.php">vai alla pagina dei commenti</a>
</div>
---------------------commenti.php------------------------------------------------

<?php
header("Expires: Mon, 26 Jul 1997 05:00:00 GMT");
header("Last-Modified: " . gmdate("D, d M Y H:i:s") . "GMT"); 
header("Cache-Control: no-store, no-cache, must-revalidate");
header("Cache-Control:  post-check=0, pre-check=0", false);
header("Pragma: no-cache");
?>

Questo mi sembra pericoloso perchè la pagina di deposito è in PHP anzicchè TXT
manca quel comando (str_replace, < >) per disattivare un eventuale infiltarzione di uno
script malevolo da parte di un estraneo....
Il problema era che io utilizzavo i tag di formattazione del testo

Codice:

<font color=red>$titolo</font><font color=blue>$messaggio</font>

se uso quel comando (str_replace, < >) non posso usare i tag.

L'ultimo script serviva a mantenere aggiornata la pagina...
a volte era necessario aggiornare la pagina per vedere l'ultimo messaggio
(non fate caso allo script poco corretto sto facendo copia e incolla di vecchi script)
______________________
LEGGERE IL CONTENUTO DI UN CARTELLA

Codice:

<?
$od=opendir("./image");
$dir="./image/";

if(!$od){echo"Errore apertura cartella album";exit;}
while(gettype($file=readdir($od))!=boolean){
if($file!="." && $file!="..")
echo "<a href=".$dir.$file.">".$file."</a><br>";
}
closedir($od);
?>

questo script favorisce la lettura al malintenzionato degli script
presenti nella cartella.

___________________
LOGIN CON ISSET COLLEGATO AL PULSANTE

Codice:

<?php
$nome=$_POST['nome'];
$password=$_POST['password'];
$submit=$_POST['submit'];

if(isset($_POST['submit'])){
if($nome=="pippo" && $password=="prova"){
header("Location: http://max400.forumfree.it");
}else{
header("Location: errore.html");
}
}
?>
<form method="post" action="<?php echo $_SERVER['PHP_SELF'];?>">
Name : <input name="nome" type="text"><br>
Password : <input name="password" type="password"><br>
<input name="send" type="submit" value="submit">
</form>

questo va bene?
si scrive nome utente e password se sono giusti
l' header ti porta alla pagina di destinazione
altrimenti alla pagina di errore. Quest'ultimo l'avevo sostituito
con echo "nome utente e password errati";
__________________________________________
SESSIONI COLLEGATI A PULSANTE

Codice:

Pulsanti sessioni - italiano - inglese

<?php
if (!isset($_SESSION)){session_start();}
if(isset($_GET['lin'])){
	$_SESSION['lin']=$_GET['lin'];
}else{
	if(!isset($_SESSION['lin'])){$_SESSION['lin']="IT";}
}
switch($_SESSION['lin']){
	case "GB":
		$messaggio="ho cliccato su <em>INGLESE</em>";
	break;
	default:
		$messaggio="ho cliccato su ITALIANO";
	break;
}
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<title>Documento senza titolo</title>
</head>
<body>
<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,29,0" width="72" height="36">
  <param name="movie" value="prova_IT_GB.swf">
  <param name="quality" value="high">
  <embed src="prova_IT_GB.swf" quality="high" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" width="72" height="36"></embed>
</object>
<br><br><br><br><br>
<?php
echo "<h1>$messaggio</h1>";
?>
</body>

======== in flash sul pulsante ==================
on(release){
	getURL("?lin=IT","_parent","GET");
}

questo serviva per leggere un testo in un altra lingua
in base ai pulsanti che si premono in flash
notate la funzione case
il risultato finale con un semplice echo (la stampa del testo desiderato)

Codice:

switch($_SESSION['lin']){
	case "GB":
		$messaggio="ho cliccato su <em>INGLESE</em>";
	break;
	default:
		$messaggio="ho cliccato su ITALIANO";
	break;

[sevenjeak]

Per proteggerle, sempre se hanno bisogno di protezione, cosa che non posso vedere ora, basta applicare quello che ti abbiamo detto nei messaggi precedenti.

P.S.: Ti ho mandato un pm che forse ti aiuterà in questo.

ok grazie 1000 seven ci vediamo più tardi
ciao