24.7.2015 0 Comments

WWW hacking a obrana / 3. časť

Remote File Inclusion/PHP Injection PHP je dnes najpoužívanejší skriptovací jazyk pracujúci na strane servera, určený na tvorbu dynamických internetových stránok. Bežný návštevník webovej stránky ho prakticky vôbec nevníma napriek tomu, že je aspoň čiastočne zakomponovaný v takmer všetkých funkciách webovej stránky - od fulltextového vyhľadávania až po tie najdynamickejšie prvky. Pre hackerov sú dnešné dynamické stránky využívajúce moderné technológie vrátane PHP vítaný cieľ. Dynamické prvky totiž prinášajú zároveň veľký problém - server bude získavať, spracúvať a vyhodnocovať dáta, ktoré pochádzajú od klienta, teda návštevníka stránky. V prípade, že programátor chybne navrhne kód ošetrujúci vstup od používateľa, hacker môže bez väčších problémov spustiť na serveri vlastný kód. V nasledujúcej ukážke je predstavený útok typu PHP Injection, ktorý spadá pod útoky typu Remote File Inclusion. Zdrojový kód zraniteľnej webovej stránky (index.php): Untitled Document
Predchádzajúca stránka, ktorá obsahuje skript PHP, je typický príklad bezpečnostnej chyby, ktorej sa dopúšťa pomerne veľa programátorov internetových aplikácií. Funkčnosť je v poriadku a stránka pracuje správne. Problém spôsobuje fakt, že skript prijíma akýkoľvek reťazec do premennej page a bez ošetrenia ho posúva ďalej. Hacker má teda pred sebou veľmi jednoduchú úlohu. Stačí, aby do premennej page zadal URL nejakého vlastného súboru PHP, ktorý je umiestnený niekde na internete. Hacknutie obsahu hlavnej stránky V prípade, že by mal hacker v úmysle nahradiť hlavnú stránk ...

Článok je uzamknutý

Pokračovanie článku patrí k prémiovému obsahu pre predplatiteľov. S digitálnym predplatným už od 10 € získate neobmedzený prístup k uzamknutému obsahu na celý rok. Objednať si ho môžete TU. Ak ho už máte prihláste sa TU


Prihlásiť pomocou členstva PC REVUE

Nechajte si posielať prehľad najdôležitejších správ emailom

Vyhľadávanie

PC forum button

Najnovšie videá