Apache Friends Support Forum

[Makconner]

Folgende Idee...

Ich programmiere ein Tool mit php und richte mir eine Commandozeile ein.. so wie "cmd" unter Dos.. die Befehle hinterlege ich normal im Quellcode so in einer "IF" abfrage ...

ist es möglich von einem User/Hacker außerhalb herauszufinden wie die Befehle sind? Ich arbeite schon eine Weile mit php aber bin mir immer noch nicht sicher wie "SICHER" das php nun ist.

[KingCrunch]

Mach das nich ohne Authentifizierung!

[Makconner]

Ja ok… kein Thema aber wir kommen noch mal zu der Frage… wie sicher ist der php code.. das man ihn nicht so einfach einsehen kann wie html is klar… aber kann der Hacker mit einem Trick an den Quellcode gelangen?

[KingCrunch]

An den Quellcode meines Wissens nicht, solange es nicht "schwach Passwörter" (ftp, ...) dran Schuld sind, allerdings besteht noch Gefahr, dass die Kommandos "erraten" (beinhaltet auch Brute-Force) werden. Es ist zumindest ungeschützt ein nicht zu kalkulierendes Risiko, was ich nie eingehen würde.

[Makconner]

Nun ich bin schon eine weile mit php unterwegs und habe sicher viel gelernt, aber denke immer noch das ich zu den Noobs gehöre und demnach von 70% der Möglichkeiten keine Ahnung habe. Demnach vertraue ich meinem Code noch nicht all zu viel an, und habe bedenken das man meien PHP code durch Tricks umgehen kann und so Sicherheitslücken in meinen Tools umgehen kann.

Also… wenn ich durch Name und Passwort (ausgelesen aus mysql-DB) den User gestatte auf die nächste php-Seite zu gelangen… ist es für andere ohne Name und PW nicht möglich.. oder kann man einen einfachen Name/PW vergleich umgehen? Ich habe lang mit HTML gearbeitet und weis das da einfach keine Sicherheit vorherrscht.. alles kann man umgehen… daher bin ich sehr Vorsichtig…

[KingCrunch]

HTML wird auch client-seitig ausgewertet, d.h. dass der Nutzer jederzeit sich den Quelltext anschauen kann. So ist das kein Wunder, das html keinerleit Sicherheiten bietet (zudem ist html sowieso nur ne Auszeichnungssprache). Man sollte sich aber auch bei PHP mit den Gedanken anfreunden, dass es nie 100%ig sicher sein kann. Aber dann sollte man es denjenigen wenigstens möglichst schwer machen Denn: Ob eine Seite gehackt wird, liegt auch teilweise am Verhältnis Aufwand-Nutzen.

[thorsin]

also es gibt mehrere möglichkeiten....
wenn du befehle, oder teile von befehlen offensichtlich also per get oder post übergibst, dann ist es relativ einfach an den code zu kommen.
rufst du zb ein fopen($datei) über index.php?open=meinfile.txt auf, dann würde man als angreifer jetzt einfach mal index.php?open=index.php aufrufen und so weitermachen bis man alle dateien hat. das ist jetzt mit sicherheit der einfachste weg, aber das prinzip sollte daraus hervorgehen.
dann gibt es da noch die möglichkeit einer "sql injection", will heissen du übergibst irgendwo was an die db ohne es zu prüfen. zb. könnte das so aussehen: du hast eine form, wo der user etwas eintragen kann. die eingegebenen daten prüfst du nicht. nehmen wir mal an du willst den namen registrieren, dann würde ein angreifer versuchen dir in das namensfeld so was in der art: heinz müller;SELECT * FROM geratenerName; probieren, wobei geratenerName zb durch einen in dieser form provozierten fehler anhand der fehlermeldung ersichtlich sein könnte.

letzten endes kann man dir ein klares JEIN als antwort geben. solange der user keine einflußmöglichkeiten auf sql-statements bzw. andere variablen hat ist dein php safe (vorausgesetzt dein apache ist ordentlich konfiguriert und liefert keine php-dateien aus)(tipp an dieser stelle: files die du per require oder include einbindest immer *.inc.php nennen, da manche server *.inc ausliefern und nicht parsen). sobald der user eingabemöglichkeiten hat MUSST du die eingaben irgendwie prüfen...

so far