Skript Mißbrauch durch Spammer - wo sind die Lücken?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • #31
    Eine whitelist werde ich wohl noch anlegen. Im Moment prüfe ich ob in content "://" oder "../" enthalten ist. Falls ja, wird die IP gespeichert und dann die("Finger weg!"). Reicht das aus, um Zugriffe auf außerhalb der Site zu verhindern, oder gibt es noch weitere Lücken die es zu bedenken gibt?

    Kommentar


    • #32
      Vllt ist is_file() etwas für dich. Funzt nur mit lokalen Dateien und würde bei externen Dateien ein false zurückgeben.

      Gruss

      tobi
      Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

      [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
      Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

      Kommentar


      • #33
        Ma was anderes?

        http://www.billard-p3c.de/breakball/...ent=start.html

        ändere doch deine Scripte ab.

        http://www.billard-p3c.de/breakball/...?content=start

        Über einen Switch holst du dir die Files.
        Dann sagst du was eingebaut wird.

        Kommentar


        • #34
          Hey, wenn du willst kann ich mal versuchen mich in dein Script einzuschleusen. Das würdest du definitiv in der *.log sehen. Wenn du interesse hast, dann kannst mich ja mal anmailen. Ist nur ein Angebot

          Kommentar


          • #35
            JM was würde eigentlich ?content=`ls` ergeben?

            Kommentar


            • #36
              Original geschrieben von muh (newbie)
              JM was würde eigentlich ?content=`ls` ergeben?
              Das wird zwar nicht geblockt, ergibt aber gar nichts, da 'ls' nicht als File existiert. Es gibt nicht mal 'ne Fehlermeldung, nur 'ne leere Seite.

              Nachtrag: alles mit einem ' drin, wird nun auch abgewiesen.
              Zuletzt geändert von jnmayer; 26.05.2006, 14:40.

              Kommentar


              • #37
                Original geschrieben von Shadun
                Hey, wenn du willst kann ich mal versuchen mich in dein Script einzuschleusen. Das würdest du definitiv in der *.log sehen. Wenn du interesse hast, dann kannst mich ja mal anmailen. Ist nur ein Angebot
                Anscheinend kann ich Dir keine PM schicken. So eine Aktion wäre aber schon mal interessant.

                Gruß, J. Mayer

                Kommentar


                • #38
                  Nachtrag: alles mit einem ' drin, wird nun auch abgewiesen.

                  Ich habe `ls`mit einem Backtick geschrieben, dh. Execute Zeichen. vielleicht wäre es besser überhaupt alle Sonderzeichen abzuweisen und nur alpha_numerische zuzulassen. Das ist vermutlich übersichtlicher, als jeden Einzelfall abzusichern.

                  Weiter berücksichtigen, dass solche Daten in die Datenbank gehen, (via logging ungültiger Aufruf=...), von dort wieder auf eine Anzeige gehen.. via ein template-system... welches eval() braucht... und man sich so erwischen kann. Wenn nicht heute, so doch morgen. Dh. kurze Datenpfade und perfekt escapen.

                  Kommentar


                  • #39
                    @jnmeyer
                    Ich hab dir eine Email geschickt betreffend meinem Post, können des ja mal angehen

                    Kommentar

                    Lädt...
                    X