[PHP] RFI + LFI vermeiden

Tion · 23. März 2012

Zitat
Huhu,

heute zeige ich euch, wie ihr eure Seiten vor RFI- und LFI-Attacken schützt.

Was sind das für Attacken ?
Bei RFI wird eine externe Datei eingebunden. Dies geschieht z.B. über

http://www.deine-homepage.de/i…kerseite.de/schadcode.php
PHP
include $_GET['page'];
Würde in hackerseite.de “echo ‘huhu’;” stehen, würde auf der Webseite “huhu” stehen. Klingt harmlos, doch was passiert, wenn in der schadcode.php Code zum löschen aller Dateien steht ? Oder das auslesen der Datenbank ?
Bei LFI geschieht das selbe, z.b. wird der Apache-Zugriffslog eingebunden. Der wurde dann mit einem veränderten User-Agent angepasst.

Wie schütze ich mich ?
Nichts leichter als das, wir untersuchen “$_GET['page']” nach Zeichen, die keine Buchstaben sind. Das ist mit einer einzigen Zeile gelöst:
PHP
if(preg_match('/^[a-z]+$/', $_GET['page']) == false)
 {
    die('potentielle RFI oder LFI-Attacke erkannt');
 }
 // continue;
Eine weitere Alternative währe, zu überprüfen, ob die angegebene Datei existiert. Dabei wird sich ein "Bug" zu nutzen gemacht, denn die Funktion "file_exists" gibt immer false zurück, wenn der Pfad außerhalb des eigenen Servers liegt...
PHP
if(file_exists($_GET['page'] .'.php'))
  include $_GET['page'] .'.php';
else
  include '404.php';
Zu guter letzt noch den Tipp: Seiten in ein Unterverzeichnis. Dann wird ein String vor dem $_GET gesetzt und quasi ausgeschlossen, dass eine externe Seite eingebunden wird.

Ich hoffe, ich konnte euren Webauftritt etwas absichern…

Tion
Alles anzeigen

Quelle: tionsys.de + erweiterte Anmerkungen

/e: Bug rausgehaut, danke an @BubleBub:

Cal44 · 31. Juli 2012

Nabend ich hätte eine Frage zu diesem Satz hier.

Zu guter letzt noch den Tipp: Seiten in ein Unterverzeichnis. Dann wird ein String vor dem $_GET gesetzt und quasi ausgeschlossen, dass eine externe Seite eingebunden wird.

meinst du damit, dass das Verzeichnis evntl so aussieht?

/var/www/controlpanel/index.php

und hierher die "templates"?

/var/www/controlpanel/tmpl/

oder sollten dann die "templates" hier liegen:

/var/www/tmpl

Lg Cal44

Dudalus · 31. Juli 2012

Danke für den Tipp mit dem false als return value von file_exists(), ist noch nützlich zu wissen

Bubelbub · 31. Juli 2012

Zitat von Tion

if(preg_match('/^[a-z]+$/', $_GET['page'] == false)

PHP

if(preg_match('/^[a-z]+$/', $_GET['page']) == false)

Klammer fehlt...
Eleganter:

PHP

if(!preg_match('/^[a-z]+$/', $_GET['page']))

Zitat von Cal44 aka Mert

Nabend ich hätte eine Frage zu diesem Satz hier.

Zu guter letzt noch den Tipp: Seiten in ein Unterverzeichnis. Dann wird ein String vor dem $_GET gesetzt und quasi ausgeschlossen, dass eine externe Seite eingebunden wird.

meinst du damit, dass das Verzeichnis evntl so aussieht?

/var/www/controlpanel/index.php

und hierher die "templates"?

/var/www/controlpanel/tmpl/

oder sollten dann die "templates" hier liegen:

/var/www/tmpl

Lg Cal44

Alles anzeigen

/var/www/controlpanel/index.php
und die templates
/var/www/controlpanel/tmpl/

Info auch:
Bei Hostings hat man meistens nen OpenBaseDir.
D.h. da wird ein bisschen geholfen.

Oder bsp. wie ich das ganze immer regele...

PHP

$site = strtolower($_GET['site']); // PHP Dateien sind in dem Sinne immer klein, Rechtschreibfehler nicht mehr schlimm
if(file_exists('pages/'.$site.'.php'))
{
  	include_once('pages/'.$site.'.php');
}
else
{
  	include_once('pages/error_404.php');
}

So ist man größtenteils abgesichert

Cal44 · 31. Juli 2012

Ist es nicht besser wenn man das so hier regelt?

PHP

if(isset($_GET["page"])) 
{ 
$allowedPages = array('Seite1', 'Seite2', 'Seite3'); 
if(in_array($_GET["page"], $allowedPages)) 
{ 
if(file_exists('templates/'.$_GET["page"].'.tpl.php')) 
{ 
include 'templates/'.$_GET["page"].'.tpl.php'; 
} 
else 
{ 
include 'templates/404.tpl.php'; 
} 
} 
else 
{ 
include 'templates/start.tpl.php'; 
} 
} 
else 
{ 
include 'templates/start.tpl.php'; 
}

Alles anzeigen

Zunno · 31. Juli 2012

Man braucht sich aber keinen RFI schutz einbauen, wenn man in seinen PHP Scripten keine $_GET Varriabeln verwendet oder liege ich da falsch?

Cal44 · 31. Juli 2012

Das kann ich dir zwar nicht beantworten allerdings hilft dir evntl das hier

Um RFI zu verhindern braucht man z.B. keine zusätzliche Filterung, wenn allow_url_fopen und allow_url_include auf Off gesetzt sind.

Quelle (Iwo unten)

Tion · 31. Juli 2012

Zitat von [GSF]Zunno

Man braucht sich aber keinen RFI schutz einbauen, wenn man in seinen PHP Scripten keine $_GET Varriabeln verwendet oder liege ich da falsch?

Wenn du $_GET, $_POST und einige $_SERVER ( useragent z.B. ) nutzt und mit diesen Variablen dateien einbindest, musst du dich davor schützen.
Gegen RFI reicht aber auch ein einfacher Check mit file_exists oder das Speichern der Templates in einem anderen Verzeichnis.

Zitat von Bubelbub

Oder bsp. wie ich das ganze immer regele...

PHP

$site = strtolower($_GET['site']); // PHP Dateien sind in dem Sinne immer klein, Rechtschreibfehler nicht mehr schlimm
if(file_exists('pages/'.$site.'.php'))
{
      include_once('pages/'.$site.'.php');
}
else
{
      include_once('pages/error_404.php');
}

So ist man größtenteils abgesichert

Gegen RFI, aber nicht, wenn so etwas kommt:

Code

index.php?site=../../images/upload/avatar45.png

Und in Avatar45 ein Schadcode drinne ist ( z.B. weil es ein Avatar ist, der hochgeladen wurde )
Wie man Schadcodes in Bilder steckt, erzähle ich jetzt hier mal nicht

Burnett · 31. Juli 2012

Zitat von Cal44 aka Mert

Um RFI zu verhindern braucht man z.B. keine zusätzliche Filterung, wenn allow_url_fopen und allow_url_include auf Off gesetzt sind.

Da gebe ich dir recht

Cal44 · 31. Juli 2012

Tion

wie siehts aus mit meinem beitrag? also lfi schutzsicher?

[PHP] RFI + LFI vermeiden

Tion · 31. Juli 2012

Cal44 aka Mert: Ja, ist auch sicher, aber du müsstest jede Seite in das Array eintragen - da lohn sich ein kurzer Check doch eher, zumal man ihn nicht immer updaten muss
Kann man aber auch so machen

**aebian** · 31. Juli 2012

Das ist jezz nur für VServer gedacht oder auch für die eigene Hompage?

Tion · 31. Juli 2012

Zitat von Robbe

Das ist jezz nur für VServer gedacht oder auch für die eigene Hompage?

Das ist jetzt für die eigene Homepage gedacht und dient der Abwehr einer Hackermethode, bei der fremder und eventuell Schädlicher Code eingeschleust wird. Das ist die kurze Variante der Erklärung

**aebian** · 31. Juli 2012

Ah gut xD Nettes Tutorial^^