[שאלה-PHP]אבטחת קוד - עמוד 2 - הוסטס

**Tomer** · 17-08-07, 17:55

ציטוט:

נכתב במקור על ידי בניה

זה אפשרי, לקוד שאתה מקבל מהשרת שמכיל את הקודים אתה עושה eval().
וכדי לקבל את הקוד אתה יכול להשתמש ב file_get_contents.
הבעיה שאפשר פשוט לקחת את הקוד ולעשות לו echo ואותו להכניס במקום הקוד שמקבל את הקוד מהשרת שמכיל את הקודים.

מגנים כמה שיותר. למשל אפשר לחסום כניסה לסקריפט ע"י סיסמא, ע"י הגנת IP.. למרות שהכל אפשר לעבור בסופו של דבר.

omercnet · 17-08-07, 18:45

רעיון נחמד

אבל לא בעיה לעקוף את זה,
אם אתה מגביל רק לפי IP, אפשר לזייף את זה ולהריץ את זה בכל זאת
הייתי ממליץ לשים גם סיסמא, איזה משתנה שמעבירים ב GET שמשמש כמזהה נוסף ל-IP

Kfir.G · 17-08-07, 22:38

ציטוט:

נכתב במקור על ידי omercnet

רעיון נחמד

אבל לא בעיה לעקוף את זה,
אם אתה מגביל רק לפי IP, אפשר לזייף את זה ולהריץ את זה בכל זאת
הייתי ממליץ לשים גם סיסמא, איזה משתנה שמעבירים ב GET שמשמש כמזהה נוסף ל-IP

איך אני יכול להגן על זה בעזרת סיסמה ככה שלא יהיה ניתן להדפיס את תוכן הקובץ?

omercnet · 17-08-07, 22:44

ציטוט:

נכתב במקור על ידי kfir_dnd

איך אני יכול להגן על זה בעזרת סיסמה ככה שלא יהיה ניתן להדפיס את תוכן הקובץ?

קודם כל
בכל מקרה
אתה יכול להשתמש בZend כדי להצפין את הקוד

דבר שני אני התכוונתי שתעשה עוד משתנה ב GET כדי לוודא שאתה מריץ את זה רק למי שאתה רוצה

akamaor · 17-08-07, 23:29

יוו אני נשבע לך גמני חשבתי על זה
זה רעיון בר ביצוע..

Kfir.G · 18-08-07, 04:14

טוב נראה כאילו שהרעיון שהצעתי הוא דיי פופלארי

אז אולי כדי לעשות אשכול מרוכז או משהו לעבודה על הנושא הזה בתור פרוייקט של פורום תיכנות הוסטס? או שאולי תומר ישים את זה בתור האתגר או משהו

omercnet · 18-08-07, 09:48

http://www.znutgang.com/remote_inclu...sS=hostsIScool

אוקי, הנה
רק אם תגשו מהפוסט הזה ללינק הזה תקבלו את מה שאתם רוצים לקבל

בודק גם סיסמא וגם מאיפה באתם, אפשר להוסיף גם מאיזה IP ולא רק מאיזה עמוד

PHP קוד:


			
<pre>
<?
if ($_SERVER["HTTP_REFERER"] == "http://www.hosts.co.il/forums/showthread.php?p=543688") {
  if ($_GET['pAsS'] == 'hostsIScool') {
    echo "This is a sweet remote include that checks referer and has a key!";
  } else { echo "Wrong key !!"; }
} else { echo "Unauthorized access !!"; }
?>

**Daniel** · 18-08-07, 10:02

$_SERVER["HTTP_REFERER"] אפשר לזייף, ואפשר לעשות file_get_contents.

זה תאורטית בלתי אפשרי לפי דעתי, כי כל פעם שתעשה include, אני אעשה echo file_get_contents

omercnet · 18-08-07, 11:08

בשביל זה הוספתי את ה"סיסמא"
ככה שגם אם תזייף את הREFERER עדיין אתה צריך לדעת את הסיסמא, שרק מי שעושה את ה INCLUDE יודע אותה..

אפילו יודע מה, נלך רחוק.
נעשה WebService קטן, שאתה ניגש אליו, ואתה מקבל סיסמא שמוקצת רק לך (לIP שלך)
ואז אתה עושה INCLUDE עם הסיסמא שקיבלת

מספיק טוב?

akamaor · 18-08-07, 11:25

אחים יש אפשרות גם להוסיף את ה ip של השרת

17-08-07, 18:45	# 12
omercnet אחראי פורום תחזוק שרתים מיני פרופיל תאריך הצטרפות: Aug 2006 גיל: 38 הודעות: 722	רעיון נחמד אבל לא בעיה לעקוף את זה, אם אתה מגביל רק לפי IP, אפשר לזייף את זה ולהריץ את זה בכל זאת הייתי ממליץ לשים גם סיסמא, איזה משתנה שמעבירים ב GET שמשמש כמזהה נוסף ל-IP __________________ Omer Cohen Information Security Specialist eBaY Inc

17-08-07, 23:29	# 15
akamaor חבר על מיני פרופיל תאריך הצטרפות: Oct 2006 הודעות: 779	יוו אני נשבע לך גמני חשבתי על זה זה רעיון בר ביצוע.. __________________ בברכה, מאור. msn - meaka@hotmail.co.il \| icq - 70663574 \| email - akamaor@gmail.com

18-08-07, 04:14	# 16
Kfir.G חבר וותיק מיני פרופיל תאריך הצטרפות: Dec 2005 הודעות: 1,059	טוב נראה כאילו שהרעיון שהצעתי הוא דיי פופלארי אז אולי כדי לעשות אשכול מרוכז או משהו לעבודה על הנושא הזה בתור פרוייקט של פורום תיכנות הוסטס? או שאולי תומר ישים את זה בתור האתגר או משהו __________________ פיג'מה משחקים

18-08-07, 09:48	# 17
omercnet אחראי פורום תחזוק שרתים מיני פרופיל תאריך הצטרפות: Aug 2006 גיל: 38 הודעות: 722	http://www.znutgang.com/remote_inclu...sS=hostsIScool אוקי, הנה רק אם תגשו מהפוסט הזה ללינק הזה תקבלו את מה שאתם רוצים לקבל בודק גם סיסמא וגם מאיפה באתם, אפשר להוסיף גם מאיזה IP ולא רק מאיזה עמוד PHP קוד: `<pre> <? if ($_SERVER["HTTP_REFERER"] == "http://www.hosts.co.il/forums/showthread.php?p=543688") { if ($_GET['pAsS'] == 'hostsIScool') { echo "This is a sweet remote include that checks referer and has a key!"; } else { echo "Wrong key !!"; } } else { echo "Unauthorized access !!"; } ?>` __________________ Omer Cohen Information Security Specialist eBaY Inc Last edited by omercnet; 18-08-07 at 09:54..

18-08-07, 10:02	# 18
Daniel אחראי פורום מיני פרופיל תאריך הצטרפות: Mar 2007 הודעות: 2,875	$_SERVER["HTTP_REFERER"] אפשר לזייף, ואפשר לעשות file_get_contents. זה תאורטית בלתי אפשרי לפי דעתי, כי כל פעם שתעשה include, אני אעשה echo file_get_contents Last edited by Daniel; 18-08-07 at 10:53..


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

18-08-07, 11:08	# 19
omercnet אחראי פורום תחזוק שרתים מיני פרופיל תאריך הצטרפות: Aug 2006 גיל: 38 הודעות: 722	בשביל זה הוספתי את ה"סיסמא" ככה שגם אם תזייף את הREFERER עדיין אתה צריך לדעת את הסיסמא, שרק מי שעושה את ה INCLUDE יודע אותה.. אפילו יודע מה, נלך רחוק. נעשה WebService קטן, שאתה ניגש אליו, ואתה מקבל סיסמא שמוקצת רק לך (לIP שלך) ואז אתה עושה INCLUDE עם הסיסמא שקיבלת מספיק טוב? __________________ Omer Cohen Information Security Specialist eBaY Inc

18-08-07, 11:25	# 20
akamaor חבר על מיני פרופיל תאריך הצטרפות: Oct 2006 הודעות: 779	אחים יש אפשרות גם להוסיף את ה ip של השרת __________________ בברכה, מאור. msn - meaka@hotmail.co.il \| icq - 70663574 \| email - akamaor@gmail.com

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)