PHP: SICHERHEITSLÜCKE - REMOTE VIRUS EXECUTION

Ich habe einen Virus gefunden! Befolge die folgenden Tipps:

Mit falschen Variabeln sind Variabeln welche als Wert einen Command enthalten gemeint.

Verarbeitet der Server sie, wird der Command ausgeführt.

Also sollte man die Verarbeitung von solchen Variabeln verhindern und dafür sorgen, dass sie einfach nur in die MYSQL Datenbank eingetragen wird ohne vorher bearbeitet bzw. überprüft (Z.b Prüfen ob es sich um eine Emailadresse handelt) zu werden.

Es gibt 2 Möglichkeiten, die Verarbeitung von solchen Variabeln zu verhindern:

1.Man fragt alle verdächtigen Zeichen mit einem IF Statement ab. Dies ist allerdings unsicher und sehr aufwendig.

2.Die zweite Möglichkeit ist die Umformatierung bzw. Verschlüsselung der Variabel/n. Dies ist viel sicherer und macht mehr sinn, weshalb ich dir dies auch hier erklären werde.

Um die Variabeln so sicher wie möglich zu verschlüsseln, solltest du sie als passive Variabeln verarbeiten.

Das heisst: nicht md5($_GET["variabel"] sondern $var1 = $_GET["variabel"]; md5($var1).

Um zu verhindern, dass ein Hacker die Verschlüsslung knackt kannst du folgendes tun:

Bei jeder Session wird ein random Passwort generiert und als Textdatei auf dem Server gespeichert, das PHP File liest die Datei aus und nutzt sie als Passwort für den vom User eingegeben Content!

Beispiel:

$passwort = file_get_contents('password.txt'); //Falls die Datei nicht im gleichen Ordner wie das Skript ist, ganzen Pfad angeben!
        $salt     = $_POST["hey"];
        echo md5($passwort.$salt); 

Tipp: Überwache das Verhalten deiner Nutzer genau um falls vorhanden Sicherheitslücken aufzudecken. Dabei hilft dir das folgende Tool enorm:

 https://www.kktvcam.com/homepage/help/save-files-securely/

Kommentar schreiben

Kommentare: 0

Click the button

Chance of Elysion | Buy my book now:

Chance of Elysion | There is only one step at a time, so Cooper manages to find some relief knowing that there is only one intruder.  Still, the unknown whereabouts of O`Brien keep him at the edge, making him lean some more out of his hideout towards the
Me with my book | Chance of Elysion | There is only one step at a time, so Cooper manages to find some relief knowing that there is only one intruder. Still, the unknown whereabouts of O`Brien keep him at the edge, making him lean some more out of his hi

TRAPPIST-1 E is a new chance for humanity and scientists finally found a way how to reach that place. In Elysion town they build the first human colony outside of earths star- system. But shortly before arriving on TRAPPIST-1 E, they meet an old friend: Greed and Hate. There is an explosion on the colony ship and on the planet the colony is repeatedly attacked for no reason by traitors, the separatists. When the Separatists send an encrypted signal to Earth, the mayor of Elysion Town, Cooper, begins the rescue of the colony from which they fled from Earth. Can humanity change or is this its nature? Cooper needs to rescue his daughter Sophie from the hands of the separatists and wants to keep her, as well as her little sister Shannon, from suddenly becoming a copy of the destroyed and exploited first earth.

Chance of Elysion | An event like this was supposed to happen. A revolution is always waiting to explode. | TRAPPIST-1 E is a new chance for humanity and scientists finally found a way how to reach that place. In Elysion town they build the first human co
Chance of Elysion by Severin Kämpfer


KONTAKT

Bitte den Code eingeben:

Hinweis: Bitte die mit * gekennzeichneten Felder ausfüllen.


ADCELL

Hey! Thats me!

Severin Kämpfer Bremgarten bei Bern

16 years old trekkie.

Persönliche Webseite:

https://www.severin-kaempfer.ch

Unterstütze KKTVCAM mit 1 CHF! Bezahle mit Bitcoin!



Made with ♥ in Bern (Switzerland)!

KKTVCAM ÜBERNIMMT KEINE HAFTUNG FÜR ALLE ANGABEN AUF DIESER SEITE.