אז ככה אני מנסה לעשות חסימה נגד - RFI \ Php inj אני מנסה לעשות מין קובץ אבטחה והרעיון שלי זה ככה, אני בודק אם ב - GET יש את הדברים הבאים: קוד: .html .css .js .php .xml .asp .txt
במידה ויש אני עושה str_replace ל - url. רציתי לדעת אם הרעיון שלי טוב? ואם למישהו יש עוד דרכים שיכתוב כאן,
תודה.
25/01/2008 16:09:45
devil kide
יש עוד מלא סיומות לPHP יש סיומות כמו inc,php3,inc3,phtm,phtml,php4 יש עוד , לא זוכר כרגע-גוגל איט. לASP יש גם ASPX וכו’.. ומה בנוגע ל pHp, אתה צריך לאבטח מזה,יש פונקציה שיודעת להפוך הכל לאותיות קטנות. תשתמש בה. אבל לא יותר קל לכתוב פונקציה שתבדוק איזה סיומות כן מותר להריץ ? חוץ מזה, איך תאנקלד את הקבצים שאתה כן רוצה? אתה יכול לקבל את הקובץ בצד השרת להוסיף לו סיומת, אבל זה יוסיף סיומת גם לקבצים המסוכנים שמשתמש זדוני יכניס. תחשוב בצורה אחרת, למשל לסרוק את כל הקבצים שיש אצלך בשרת , ואם מה שקבלת בGET\POST שווה לאחד הקבצים שנמצאים שם אז הקובץ חוקי וניתן לבצע עליו INCLUDE, אחרת-הקובץ לא חוקי. זה יתאים רק נגד RFI ולא נגד LFI.
25/01/2008 16:14:38
SgS01
או.קיי אני יעשה את זה יותר פשוט, מערכת - IPB מכיר? (ברור שכן I) אני רוצה לעשות קובץ אבטחה סתם בשביל נסיון למערכת הזו. אתה יכול להמליץ לי על שיטה אחרת?
25/01/2008 17:06:22
HLL
הדרך הכי טובה, היא כשאתה מאנקלד קובץ - לא לאנקלד אותו מהמשתמש, אלא ממאגר פנימי נקודה.
31/01/2008 19:52:11
cp77fk4r
בדיוק, פשוט לבצע משט CASE, אם PAGE שווה למשל LINKS - זה יטען את העמוד LINKS.PHP, אם PAGE שווה למשל HOME זה יטען את העמוד INDEX.PHP וכו’, פשוט משפט CASE שיהיה אחראי על כל העמודים.
עמודים:
1
