CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg

Log ind eller opret profil

Du kan også logge ind via nedenstående tjenester

styrk Nybegynder

20. marts 2010 - 15:48 Der er 4 kommentarer

Directory listing - sikkerhedsspørgmsål

Hej.

Jeg har lavet et simpelt directory-listing-script, vha. scandir. Man kan navigerer sig frem og tilbage i mapperne.

Problemet er så at man faktisk kan bevæge sig udenfor start mappen, hvilket jeg jo ikke ønsker - f.eks ved at skrive ../ i url'en hvor jeg heletiden kører mappe-stien.

Nogle forslag til hvordan man kan sikre sådan et script?

Synes godt om

bufferzone Praktikant

20. marts 2010 - 17:11 #1

Det du beskriver er en klassisk directory traversal sårbarhed der let kan udnyttet til skidt.

Løsningen er input validering, hvor du i dit script forbyder brugerne at bruge de karakterer der kan danne ../ (husk også unicode og andre måder at danne karakterer på.

Du skal ikke forbyde brugen af punktum, kun to punktummer i rækkefølge

Synes godt om

repox Seniormester

20. marts 2010 - 21:35 #2

Et forslag (der forudsætter at du naturligvis ikke benytter amatøragtige hosting selskaber der har safe_mode slået til ;) )

$startDir = dirname(__FILE__);

$dir = $startDir."/".$_GET["dir"];
chdir($dir);
if( strlen($startDir) > strlen(getcwd()) )
    die("Du kan ikke komme længere tilbage...");

print_r(glob(getcwd()."/*"));

Det kan måske give dig inspiration...

Synes godt om

styrk Nybegynder

23. marts 2010 - 21:08 #3

Tak for svarende. Jeg har ikke lige besluttet mig på en bestemt måde endnu, da stystemet stadig er lukket..

Kunne godt tænke mig lidt flere forslag. :-) (hvis der er flere..)

Synes godt om

styrk Nybegynder

23. maj 2012 - 16:16 #4

Hej repox. Din løsning er ganske fin. Besvar venligst..

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Loading billede

Opret Preview

Kategori

Webudvikling kurser

Vi tilbyder markedets bedste kurser inden for webudvikling

Se alle Webudvikling kurser

Flere spørgsmål fra PHP kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Hent array key Af nemlig i PHP	3	17/05/202415:22	17/05/202416:30
iCal-feed og import til google kalender driller Af nemlig i PHP	11	09/05/202417:49	10/05/202421:28
Adgang til vandaflæsningsdata Af nemlig i PHP	4	22/04/202422:04	30/04/202421:08
Vælg post rækkefølge Af Mojo_dk i PHP	3	06/04/202418:40	07/04/202412:20
Hjælp til PHP Af Friis77 i PHP	5	11/02/202419:58	12/02/202407:55

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS

14:58

Apple Maps lanceres på web med den største udvidelse nogensinde: Vil tage kampen op med Google

13:57

Tidligere Tradeshift-CEO Christian Lanng skyder tilbage efter sexslave-anklager: Deler dagbøger og private beskeder

13:09

Tusindvis af falske brugere deler malware på Github: Kriminelle opfinder ny forretningsmodel

12:00

Film: Scarlet Johansson i dinoland

10:57

”Det største it-nedbrud i historien” lammede store dele af verden: CrowdStrike giver nu kunder en kop kaffe som undskyldning

09:56

Først måtte Facebook-ejeren Meta droppe sine nye AI-værktøjer i EU – nu må selskabet droppe endnu et marked med over 200 millioner indbyggere

09:00

IBM opjusterer sine forventninger til 2024 grundet høj AI-efterspørgsel: Men selskabets konsulenter tjener mindre

08:01

Trods globalt nedbrud vil CrowdStrike beholde sin stærke adgang til Windows styresystemet

07:00

Top-CIO Rasmus Lundgaard Pedersen balancerer hele tiden mellem to poler

24/07

Apples folde-iPhone tager form: Her er planerne

24/07

5.000 flyafgange i verden blev aflyst som følge af Crowdstrike-nedbrud: Vil Københavns Lufthavn søge erstatning?

Vis flere artikler

IT-JOB

Devoteam A/S

Erfaren Security Consultant til Devoteam Cyber Trust

Itm8

Azure Cloud Specialist

Udviklings- og Forenklingsstyrelsen

Business Analyst med interesse for læring og teknisk flair

MAN Energy Solutions

Cloud FinOps Practitioner

Banedanmark

It-medarbejder til support, test og data management

Seneste spørgsmål Seneste aktivitet

I dag 12:26	4 GB Ram er blevet væk Af Marianne Tidemann i PC
I dag 12:24	strømforsyning Af Shamanji i Andet software
I går 20:17	vlc viser kegle-icon Af casablanca i Andet software
I går 14:01	Oprette / gemme et par fotos i en mappe - Samsung Galaxy A 14 5G ? Af Ikke-ekspert i Mobiltelefoner
I går 11:14	Bærbar til Sims 3? Af idamarie i PC

White papers

Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
DE-CIX
MDR: Transparent sikkerhed og overvågning i realtid
Arrow & Bitdefender
Guide: Sådan udvikler du en moderne netværksstrategi
Cloudflare
Unbreakable - sådan sikrer du dig vedvarende og uafbrudt adgang til dine data
Hitachi Data Systems

Flere white papers »

Premium

Teaser billede

Tidligere Tradeshift-CEO Christian Lanng skyder tilbage efter sexslave-anklager: Deler dagbøger og private beskeder

”Det største it-nedbrud i historien” lammede store dele af verden: CrowdStrike giver nu kunder en kop kaffe som undskyldning

Top-CIO Rasmus Lundgaard Pedersen balancerer hele tiden mellem to poler

5.000 flyafgange i verden blev aflyst som følge af Crowdstrike-nedbrud: Vil Københavns Lufthavn søge erstatning?

Se alle »

Computerworld

Teaser billede

Microsoft-nedbrud spreder sig: It-systemer i lufthavne verden over er ramt

Test: Denne mikro-pc er smartere end de stærkeste desktop-maskiner - men flopper alligevel

Elon Musk dropper CrowdStrike efter kæmpe nedbrud

Hundredevis af flyafgange ramt af stort Microsoft-nedbrud

Se alle »

CIO

Teaser billede

Microsoft er på sagen: I gang med at løse kæmpe nedbrud efter katastrofal Crowdstrike-fejl

Så mange Microsoft-enheder blev ramt af gigantisk Crowdstrike-koks

Telenor skrotter ældre it-system: Nyt system er en hyldevare

Derfor står Danske Bank foran en kæmpe AWS-transformation: Ellers skulle vi bygge en ny infrastruktur for at følge med

Se alle »

Job & Karriere

Teaser billede

Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"

Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret

Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv

KMD-direktør forlader selskabet: Det skal hun nu

Se alle »

White paper

Teaser billede

Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø

Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud

MDR: Transparent sikkerhed og overvågning i realtid

Vejen væk fra WAN: Sådan skifter du til en moderne infrastruktur

Se alle »