Avatar billede Springform Nybegynder
08. november 2011 - 13:45 Der er 5 kommentarer og
1 løsning

Uploadscript - sikkerhed

Hej

Jeg har her i nat på den bitre måde fundet ud af der var et hul i mit system. En hacker var forbi og slettede alt indholdet.

Måden han/hun/den kom ind på var gennem et tinymce plugin kaldet ajaxfilemanager (ja du kender det sikkert).

Her uploadede "den" en fil c99.php.jpg og kan på en eller anden måde få lov at eksekvere den som php.

Har i nogle forslag til en løsning?

Fejlen ligger umiddelbart i valideringen, som beskrevet her: http://packetstorm.crazydog.pt/1111-exploits/ajaxfim-exec.txt
Avatar billede olebole Juniormester
08. november 2011 - 15:02 #1
<ole>

Nej, det plugin kendte jeg heldigvis ikke!  =8-O

Løsningen må være, aldig nogensinde at bruge scripts fra den kilde! Vedkommende har tydeligvis ikke styr på den mest elementære sikkerhed ... rystende ...!!!

/mvh
</bole>
Avatar billede Springform Nybegynder
08. november 2011 - 15:59 #2
Scriptet bliver brugt rigtig mange steder så de skulle gerne have styr på det. Og jeg har været igang med at tilføje ekstra sikkerheds tjek.

Men test viser så også at fejlen ikke ligger i scriptet men i serveren.

Undrede mig også meget over at hvordan man over hovedet skulle kunne eksekvere en billed fil, men ja jeg er ikke hacker og de kan jo magi en gang i mellem ;).
Avatar billede olebole Juniormester
08. november 2011 - 16:17 #3
Undskyld, men jeg er rystende ligeglad med, hvormange steder, det bruges. Der, hvor det bruges, har man tydeligvis ikke styr på noget! Når tåben kan finde på at lave en så åbenbar begynderfejl, må man formode, at resten er ligeså amatøragtig.

Grundet økonomi- og arbejdspres i webhuse breder den slags libraries sig som en steppebrand i disse år - også indenfor andre sprog. Desværre er de ofte skrevet af ukyndige amatører, men det er trods alt (og heldigvis) sjældent, der står en så massiv hjerneblødning bag!

Hvad er det mere præcist for en test, du har lavet? Fejlen ligger ikke på serveren, men i scriptet. Det fylder helt ukritisk hele indholdet af den uploadede fil ned i en eksekverbar fil: data.php. Det svarer til at bede brugeren om at uploade en PHP-fil til serveren. Det er komplet og aldeles hul i hovedet!

Drop sikkerhedslapperier af dette script. Hvad vil du gøre med resten af de formodede huller?
Avatar billede Springform Nybegynder
23. november 2011 - 10:26 #4
Intet galt med scriptet, tdc der havde et hul på deres som de så lagde over på vores skuldre.
Avatar billede olebole Juniormester
23. november 2011 - 18:26 #5
"Intet galt med scriptet" >> Måske ikke, hvis det skal være tilladt at lægge dit site ned. Jeg sidder med en version af scriptet på min lokale server - og kan ved hjælp af scriptet skrive, slette og ændre filer på serveren via HTTP!
Avatar billede Springform Nybegynder
25. november 2011 - 16:15 #6
Jamen så er der jo noget galt, jeg vil se om ikke jeg kan finde et alternativ.

Tak for advarslen!
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Vi tilbyder markedets bedste kurser inden for webudvikling

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester