|
| help apache Fra : Jens S. Rasmussen |
Dato : 18-01-06 10:49 |
|
Jeg har fundet ud af min apache går amok efter 7 til 10 dage efter jeg har
installeret phpBB
eller det vil sige at jeg ikke er sikker på at det er det, jeg ved ikke
hvordan jeg finder ud af hvad det er der sker, kan i hjælpe ?
der sker simpelthen det at den sluger alt cpu kraft på den ene af de to cpu
jeg har, set med komandoen "top"
efter genstart af apache kører det fint igen
Jens
| |
Kent Friis (18-01-2006)
| Kommentar Fra : Kent Friis |
Dato : 18-01-06 17:44 |
|
Den Wed, 18 Jan 2006 10:49:04 +0100 skrev Jens S. Rasmussen:
> Jeg har fundet ud af min apache går amok efter 7 til 10 dage efter jeg har
> installeret phpBB
> eller det vil sige at jeg ikke er sikker på at det er det, jeg ved ikke
> hvordan jeg finder ud af hvad det er der sker, kan i hjælpe ?
> der sker simpelthen det at den sluger alt cpu kraft på den ene af de to cpu
> jeg har, set med komandoen "top"
> efter genstart af apache kører det fint igen
Har du opdateret til nyeste version af phpBB?
Er der usædvanlig trafik (fx port 25) når det sker?
(Jeg spørger fordi når jeg ser "phpBB" er det første jeg tænker
"hax0red".
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Alex Holst (18-01-2006)
| Kommentar Fra : Alex Holst |
Dato : 18-01-06 19:59 |
|
Kent Friis wrote:
> (Jeg spørger fordi når jeg ser "phpBB" er det første jeg tænker
> "hax0red".
Hvad mener du? phpBB er skrevet med stor omtanke for sikkerhed, både i
design og implementation. Endvidere har målgruppen af administratorer
som phpBB retter sig mod, ofte stort kendskab til hvordan man sikrer
php, apache og OS.
Eller noget.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
Kent Friis (18-01-2006)
| Kommentar Fra : Kent Friis |
Dato : 18-01-06 20:05 |
|
Den Wed, 18 Jan 2006 19:59:27 +0100 skrev Alex Holst:
> Kent Friis wrote:
>> (Jeg spørger fordi når jeg ser "phpBB" er det første jeg tænker
>> "hax0red".
>
> Hvad mener du? phpBB er skrevet med stor omtanke for sikkerhed, både i
> design og implementation. Endvidere har målgruppen af administratorer
> som phpBB retter sig mod, ofte stort kendskab til hvordan man sikrer
> php, apache og OS.
LMFAO.
Du er sg* god til at sige tingene så man er lige ved at tro du mener
det alvorligt. Problemet er bare at 90% af dem der læser det nok tror
du mener det.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Christian Iversen (18-01-2006)
| Kommentar Fra : Christian Iversen |
Dato : 18-01-06 22:34 |
|
Alex Holst wrote:
> Kent Friis wrote:
>> (Jeg spørger fordi når jeg ser "phpBB" er det første jeg tænker
>> "hax0red".
>
> Hvad mener du? phpBB er skrevet med stor omtanke for sikkerhed, både i
> design og implementation. Endvidere har målgruppen af administratorer
> som phpBB retter sig mod, ofte stort kendskab til hvordan man sikrer
> php, apache og OS.
>
> Eller noget.
Hehehe
--
| Christian Iversen | Arch-a-e-o-logy |
| chrivers@iversen-net.dk | |
| |
Niels Callesøe (19-01-2006)
| Kommentar Fra : Niels Callesøe |
Dato : 19-01-06 16:40 |
|
Alex Holst wrote:
>> (Jeg spørger fordi når jeg ser "phpBB" er det første jeg tænker
>> "hax0red".
>
> Hvad mener du? phpBB er skrevet med stor omtanke for sikkerhed,
> både i design og implementation. Endvidere har målgruppen af
> administratorer som phpBB retter sig mod, ofte stort kendskab til
> hvordan man sikrer php, apache og OS.
>
> Eller noget.
Jeg savner stadig at nogen udpeger et bare middelmådigt alternativ.
phpBB er ubrugeligt, men det ville da være rart om der fandtes noget
der ikke var det.
PS: Sidste gang jeg spurgte, endte tråden i at det bedste (men
stadig ubrugelige) forslag var "brug NNTP". Det er der ikke nogen grund
til at spilde tid på denne gang.
--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php
This space for rant.
| |
Jacob d'Andrade (19-01-2006)
| Kommentar Fra : Jacob d'Andrade |
Dato : 19-01-06 17:17 |
|
"Niels Callesøe" <pfy@nntp.dk> skrev i en meddelelse
news:Xns9750A97E557Fk5j6h4jk3@62.243.74.163...
> Alex Holst wrote:
>
>>> (Jeg spørger fordi når jeg ser "phpBB" er det første jeg tænker
>>> "hax0red".
>>
>> Hvad mener du? phpBB er skrevet med stor omtanke for sikkerhed,
>> både i design og implementation. Endvidere har målgruppen af
>> administratorer som phpBB retter sig mod, ofte stort kendskab til
>> hvordan man sikrer php, apache og OS.
>>
>> Eller noget.
>
> Jeg savner stadig at nogen udpeger et bare middelmådigt alternativ.
> phpBB er ubrugeligt, men det ville da være rart om der fandtes noget
> der ikke var det.
Jeg kiggede også efter et forum, og jeg fandt SMF(Simple Machines forum) ...
Synes det er udemærket, og så vidt jeg kan se hos www.secunia.dk, så har det
ik samme antal fejl/huller som phpBB.
Jacob
| |
Kent Friis (19-01-2006)
| Kommentar Fra : Kent Friis |
Dato : 19-01-06 17:36 |
|
Den Thu, 19 Jan 2006 17:16:37 +0100 skrev Jacob d'Andrade:
> "Niels Callesøe" <pfy@nntp.dk> skrev i en meddelelse
> news:Xns9750A97E557Fk5j6h4jk3@62.243.74.163...
>> Alex Holst wrote:
>>
>>>> (Jeg spørger fordi når jeg ser "phpBB" er det første jeg tænker
>>>> "hax0red".
>>>
>>> Hvad mener du? phpBB er skrevet med stor omtanke for sikkerhed,
>>> både i design og implementation. Endvidere har målgruppen af
>>> administratorer som phpBB retter sig mod, ofte stort kendskab til
>>> hvordan man sikrer php, apache og OS.
>>>
>>> Eller noget.
>>
>> Jeg savner stadig at nogen udpeger et bare middelmådigt alternativ.
>> phpBB er ubrugeligt, men det ville da være rart om der fandtes noget
>> der ikke var det.
>
> Jeg kiggede også efter et forum, og jeg fandt SMF(Simple Machines forum) ...
> Synes det er udemærket, og så vidt jeg kan se hos www.secunia.dk, så har det
> ik samme antal fejl/huller som phpBB.
s/fejl/offentligt kendte fejl/
Programmet er ikke nær så kendt, og derfor mindre interessant at finde
fejl i. Det kan være meget svært at vurdere hvordan programmørerne har
det med sikkerhed.
Nogen ignorerer bevidst problemerne (hvem sagde ActiveX?)
Nogen er ligeglade.
Nogen gør hvad de kan, men ved ikke hvad de har med at gøre.
Og nogen har sikkerheden med i overvejelserne ved hver eneste kode-
linie.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Alex Holst (19-01-2006)
| Kommentar Fra : Alex Holst |
Dato : 19-01-06 18:54 |
|
Niels Callesøe wrote:
> Jeg savner stadig at nogen udpeger et bare middelmådigt alternativ.
> phpBB er ubrugeligt, men det ville da være rart om der fandtes noget
> der ikke var det.
Det er ikke en verden jeg bevæger mig i, så jeg kender desværre ikke til
nogle gode alternativer.
Med tilstrækkelig omhu *er* det jo muligt at spærre apache og php så
godt inde, at en fejl i phpBB ikke giver adgang til hele systemet, men
kun til at udføre PHP kode og tilgå databasen.
Hvis man så samtidigt benytter et IP filter til kun at tillade www
brugeren indgående trafik til port 80 (og udgående svar), og logger alle
violations, opdager man hurtigt hvis nogen har skrevet en MTA i PHP og
forsøger at udføre den i dit jailed webroot.
Mon ikke man kunne benytte process accounting på www brugeren til at
opdage tegn på at nogen var sluppet igennem phpBB og PHP, og forsøgte at
få adgang til resten af systemet?
Med en god backup ville ovenstående nok ikke være så forfærdeligt endda.
Når spammere har fundet en ny fejl, henter man blot nyeste fix og
restorer data fra backup.
Alt dette ville gøre, at man kunne sove godt om natten, og efter ca. 14
dages god søvn har man måske ligefrem overskud til at begynde at sende
patches til phpBB projektet.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
Niels Callesøe (20-01-2006)
| Kommentar Fra : Niels Callesøe |
Dato : 20-01-06 17:08 |
|
Alex Holst wrote:
>> Jeg savner stadig at nogen udpeger et bare middelmådigt
>> alternativ. phpBB er ubrugeligt, men det ville da være rart om
>> der fandtes noget der ikke var det.
>
> Det er ikke en verden jeg bevæger mig i, så jeg kender desværre
> ikke til nogle gode alternativer.
Det skal du ikke tage så tungt -- det er der åbenlyst heller ikke andre
der gør[0].
> Med tilstrækkelig omhu *er* det jo muligt at spærre apache og php
> så godt inde, at en fejl i phpBB ikke giver adgang til hele
> systemet, men kun til at udføre PHP kode og tilgå databasen.
Deri har du nok ret, men det er alt andet lige en anelse træls/pinligt
at skulle restore sit site en gang om måneden fordi det er blevet
defaced igen.
> Hvis man så samtidigt benytter et IP filter til kun at tillade www
> brugeren indgående trafik til port 80 (og udgående svar), og
> logger alle violations, opdager man hurtigt hvis nogen har skrevet
> en MTA i PHP og forsøger at udføre den i dit jailed webroot.
Jeg har overvejet at gøre noget tilsvarende, og så bygge det hele ind i
en VM-ware container, for at gøre disaster management endnu lettere.
> Mon ikke man kunne benytte process accounting på www brugeren til
> at opdage tegn på at nogen var sluppet igennem phpBB og PHP, og
> forsøgte at få adgang til resten af systemet?
Nu bliver det mere kompliceret end jeg kan følge med til -- eller har
erfaring med, i hvert fald. Men jeg tænkte at med en stripped-down vm-
dåse der ikke kan andet end ovenstående og tripwire, kunne man måske
undgå det værste.
> Med en god backup ville ovenstående nok ikke være så forfærdeligt
> endda. Når spammere har fundet en ny fejl, henter man blot nyeste
> fix og restorer data fra backup.
Jaeh, bortset fra det pinlige ved at være i stykker i tide og utide.
> Alt dette ville gøre, at man kunne sove godt om natten, og efter
> ca. 14 dages god søvn har man måske ligefrem overskud til at
> begynde at sende patches til phpBB projektet.
Hvis jeg havde tid og energi til at forsøge at sætte mig ind i deres
kode(!), tror jeg egentlig hellere jeg ville starte mit eget
RealSafeBB[1][2]-projekt. Mon ikke der reelt ville være både plads på
Sourceforge og semi-motiverede udviklere til noget sådant?
Jeg x-futter lige over i d.e.s, det virker lissom mere relevant der.
[0]: Ikke bare baseret på svarene i denne gruppe. Jeg har brugt et
middelmåd af tid på at afsøge de sædvanlige sites og Giggle, uden
resultat.
[1]: Hermed officielt et projekt-navn og dermed (tm) i al fremtid.
Giggle siger at det ikke er brugt før, så det passer jo.
[2]: Jeg startede med at trække navnet SecureBB op af hatten, men det
*er* allerede taget. Og selvfølgelig ikke blevet til noget endnu.
--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php
Your search - realsafebb - did not match any documents.
| |
Christian E. Lysel (21-01-2006)
| Kommentar Fra : Christian E. Lysel |
Dato : 21-01-06 11:10 |
|
Niels Callesøe wrote:
> Deri har du nok ret, men det er alt andet lige en anelse træls/pinligt
> at skulle restore sit site en gang om måneden fordi det er blevet
> defaced igen.
Er det ikke et problem der er til at løse, vha. rettigheds styring?
| |
Niels Callesøe (21-01-2006)
| Kommentar Fra : Niels Callesøe |
Dato : 21-01-06 13:22 |
|
Christian E. Lysel wrote:
>> Deri har du nok ret, men det er alt andet lige en anelse
>> træls/pinligt
>> at skulle restore sit site en gang om måneden fordi det er blevet
>> defaced igen.
>
> Er det ikke et problem der er til at løse, vha. rettigheds
> styring?
Jeg forstår ikke hvad du mener. Vi går jo ud fra at phpBB bliver
knækket igen og igen. De fleste gange det sker, må man gå ud fra at
exploiteren som minimum kan skrive med phpBB-brugerens rettigheder til
phpBB-brugeres biblioteker (typisk vil det nok være 'www').
Måske skal jeg præcisere at jeg med "sit site" mener det pågældende
forum.
--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php
This space for rant.
| |
Christian E. Lysel (21-01-2006)
| Kommentar Fra : Christian E. Lysel |
Dato : 21-01-06 14:15 |
|
Niels Callesøe wrote:
> Jeg forstår ikke hvad du mener. Vi går jo ud fra at phpBB bliver
> knækket igen og igen. De fleste gange det sker, må man gå ud fra at
> exploiteren som minimum kan skrive med phpBB-brugerens rettigheder til
> phpBB-brugeres biblioteker (typisk vil det nok være 'www').
Kan man ikke starte med at oprette SQL brugere med forskellige
rettigheder, fx en der kun kan læse, og en der kan skrive i tabeller der
er brug for.
Derefter kan du i PHP scriptet, bruge den rigtige SQL brugere i den
rigtige situation, således alle PHP script ikke hele tiden har fuld
skrive adgang til SQL databasen.
Nogle SQL databaser tillader også brugere at køre system kommando'er,
dette skal selvfølgelig også slåes fra.
| |
Niels Callesøe (21-01-2006)
| Kommentar Fra : Niels Callesøe |
Dato : 21-01-06 14:27 |
|
Christian E. Lysel wrote:
>> Jeg forstår ikke hvad du mener. Vi går jo ud fra at phpBB bliver
>> knækket igen og igen. De fleste gange det sker, må man gå ud fra
>> at exploiteren som minimum kan skrive med phpBB-brugerens
>> rettigheder til phpBB-brugeres biblioteker (typisk vil det nok være
>> 'www').
>
> Kan man ikke starte med at oprette SQL brugere med forskellige
> rettigheder, fx en der kun kan læse, og en der kan skrive i
> tabeller der er brug for.
Jo. Det går jeg stærkt ud fra, at man gør, i det omfang softwaren
tillader det (phpBB bruger dog nok den samme bruger til SELECT og
INSERT/UPDATE). Men det forhindrer jo ikke at forummets forside bliver
erstattet med "0Wn3D bY F1UFF3rCR3W" ved en simpel overskrivning af
index.php.
> Derefter kan du i PHP scriptet, bruge den rigtige SQL brugere i
> den rigtige situation, således alle PHP script ikke hele tiden har
> fuld skrive adgang til SQL databasen.
Bare rolig, du kan være ganske sikker på at jeg har anvendt 'principle
of least priviledge' så godt som jeg nu kan, hvis jeg har konfigureret
en SQL-bruger.
> Nogle SQL databaser tillader også brugere at køre system
> kommando'er, dette skal selvfølgelig også slåes fra.
Ja.
--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php
Any similarity to real organization named Fluffercrew is coincidental.
| |
Christian E. Lysel (21-01-2006)
| Kommentar Fra : Christian E. Lysel |
Dato : 21-01-06 14:39 |
|
Niels Callesøe wrote:
> Jo. Det går jeg stærkt ud fra, at man gør, i det omfang softwaren
> tillader det (phpBB bruger dog nok den samme bruger til SELECT og
> INSERT/UPDATE). Men det forhindrer jo ikke at forummets forside bliver
Hvilket bør være muligt at ændre.
> erstattet med "0Wn3D bY F1UFF3rCR3W" ved en simpel overskrivning af
> index.php.
Hvis det er dit problem, så forhindre webserveren i at have skrive
adgang til index.php
| |
Niels Callesøe (21-01-2006)
| Kommentar Fra : Niels Callesøe |
Dato : 21-01-06 17:31 |
|
Christian E. Lysel wrote:
>> erstattet med "0Wn3D bY F1UFF3rCR3W" ved en simpel overskrivning af
>> index.php.
>
> Hvis det er dit problem, så forhindre webserveren i at have skrive
> adgang til index.php
Deri har du og Alex jo sådan set en udemærket pointe. Jeg er så van til
web-applikationer der har brug for at skrive til deres egne biblioteker
at jeg ikke havde overvejet den mulighed.
Jeg kommer, i forlængelse heraf, til at tænke på, om man ikke kunne
lade phpBB serveres af en seperat chrooted apache-instans, evt. på en
anden port. Og så går det op for mig at det måske nærmest er hvad du og
Alex har foreslået hele tiden...
Alligevel kan jeg ikke helt komme ud over en basal ide om at det ikke
er nogen god ide at køre en usikker applikation, uanset hvor godt man
låser den nede. Måske er det bare fordi jeg ikke stoler nok på at jeg
kan undgå at der er smuthuller, når først nogen får "hul".
--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php
Nu m. smart.
| |
Alex Holst (21-01-2006)
| Kommentar Fra : Alex Holst |
Dato : 21-01-06 21:07 |
|
Niels Callesøe wrote:
> Jeg kommer, i forlængelse heraf, til at tænke på, om man ikke kunne
> lade phpBB serveres af en seperat chrooted apache-instans, evt. på en
> anden port. Og så går det op for mig at det måske nærmest er hvad du og
> Alex har foreslået hele tiden...
Jep, jeg er miljøskadet. (På OpenBSD er apache chrooted som default).
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
Alex Holst (21-01-2006)
| Kommentar Fra : Alex Holst |
Dato : 21-01-06 16:15 |
|
Niels Callesøe wrote:
> Jeg forstår ikke hvad du mener. Vi går jo ud fra at phpBB bliver
> knækket igen og igen. De fleste gange det sker, må man gå ud fra at
> exploiteren som minimum kan skrive med phpBB-brugerens rettigheder til
> phpBB-brugeres biblioteker (typisk vil det nok være 'www').
Det er ofte en dårlig ide at give webserveren adgang til at skrive andre
steder end logs og database forbindelser. Man bruger jo netop databasen
til at adskille kode og data.
Jeg vil tro, at med den rette mængde arbejde kan man sætte phpBB op så
en angriber kun har adgang til selve applikationen (brugere,
administratoere, indlæg, etc).
Om det så vil være arbejdet værd ved jeg ikke.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
Kent Friis (21-01-2006)
| Kommentar Fra : Kent Friis |
Dato : 21-01-06 17:33 |
|
Den Sat, 21 Jan 2006 16:14:50 +0100 skrev Alex Holst:
> Niels Callesøe wrote:
>> Jeg forstår ikke hvad du mener. Vi går jo ud fra at phpBB bliver
>> knækket igen og igen. De fleste gange det sker, må man gå ud fra at
>> exploiteren som minimum kan skrive med phpBB-brugerens rettigheder til
>> phpBB-brugeres biblioteker (typisk vil det nok være 'www').
>
> Det er ofte en dårlig ide at give webserveren adgang til at skrive andre
> steder end logs og database forbindelser. Man bruger jo netop databasen
> til at adskille kode og data.
>
> Jeg vil tro, at med den rette mængde arbejde kan man sætte phpBB op så
> en angriber kun har adgang til selve applikationen (brugere,
> administratoere, indlæg, etc).
Med andre ord, alt hvad der ikke er med i installations-filen...
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Peter Brodersen (23-01-2006)
| Kommentar Fra : Peter Brodersen |
Dato : 23-01-06 01:03 |
|
On 21 Jan 2006 12:22:19 GMT, "Niels Callesøe" <pfy@nntp.dk> wrote:
>De fleste gange det sker, må man gå ud fra at
>exploiteren som minimum kan skrive med phpBB-brugerens rettigheder til
>phpBB-brugeres biblioteker (typisk vil det nok være 'www').
Det er ikke min erfaring, at det ofte sker, så php-filerne bliver
overskrevet.
I mange tilfælde er det blot almindelig dårlig input-validering, hvor
de eneste tilgængelige ressourcer kan være world-writable mapper
eller, mere ofte, databasen.
I phpbbs tilfælde vil det typisk ikke give nogen som helst sikkerhed
at have opdelte database-brugere, idet informationer om de forskellige
database-brugere typisk alligevel vil være tilgængelige for scriptet.
Mange af de seneste fejl skyldes fejl i eval'ende regex'es, som "de
lige havde fundet på nettet", endda en regex, der eval'er en anden
regex, der eval'er lidt kode. Fx fra viewtopic.php:
> // This was shamelessly 'borrowed' from volker at multiartstudio dot de
> // via php.net's annotated manual
> $message = str_replace('\"', '"', substr(@preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "@preg_replace('#\b(" . str_replace('\\', '\\\\', addslashes($highlight_match)) . ")\b#i', '<span style=\"color:#" . $theme['fontcolor3'] . "\"><b>\\\\1</b></span>', '\\0')", '>' . $message . '<'), 1, -1));
I en tidligere udgave var der en addslashes() for meget undervejs. Nu
håber phpbb-folkene på at ovenstående er godt nok. Hvilket det måske
er. Ellers må de jo blot fjerne endnu en addslashes(). Eller tilføje
en. Eller måske tilføje en stripslashes(). Eller måske endnu en
funktion. Eller måske endnu en eval'ende preg_replace().
--
- Peter Brodersen
Find dig selv: http://map.ter.dk/
| |
Niels Callesøe (23-01-2006)
| Kommentar Fra : Niels Callesøe |
Dato : 23-01-06 01:13 |
|
Peter Brodersen wrote:
> I en tidligere udgave var der en addslashes() for meget undervejs.
Hm. Hvordan udnytter man det (altså, excessive addslashes())? Kan du
give et eksempel på hvornår det er usikkert?
--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php
This space for rant.
| |
Peter Brodersen (23-01-2006)
| Kommentar Fra : Peter Brodersen |
Dato : 23-01-06 02:05 |
|
On 23 Jan 2006 00:12:31 GMT, "Niels Callesøe" <pfy@nntp.dk> wrote:
>> I en tidligere udgave var der en addslashes() for meget undervejs.
>
>Hm. Hvordan udnytter man det (altså, excessive addslashes())? Kan du
>give et eksempel på hvornår det er usikkert?
Hm, jeg kan ikke finde den passende patch, så måske husker jeg
forkert. Sandsynligvis var det i en kombination med en kæk
str_replace(), som man stadigvæk kan finde i koden med:
... str_replace('\\', '\\\\', addslashes($highlight_match)) ..
Det kompliceres af at når php eval'er i et regex, så tilføjer den selv
addslashes(), hvilket dog kompliceres af at det så har indflydelse på
hvilke quotes, man i øvrigt bruger undervejs.
Med fare for at bevæge sig ind i en anden gruppe, så giver følgende:
<?php
$string = <<<EOD
Foo ' Bar " Baz
EOD;
print preg_replace('/.*/e','"$0"',$string)."\n";
print preg_replace('/.*/e',"'$0'",$string)."\n";
?>
... dette måske uventede resultat:
Foo \' Bar " Baz
Foo ' Bar \" Baz
preg_replace_callback() er den hensigtsmæssige måde at gøre det på.
Uanset hvad er der for meget trial-and-error ved at skulle fikse et
sådan stykke selv-dobbelt-eval'ende kode, der inkluderer brugerinput.
--
- Peter Brodersen
Find dig selv: http://map.ter.dk/
| |
Niels Callesøe (23-01-2006)
| Kommentar Fra : Niels Callesøe |
Dato : 23-01-06 16:51 |
|
Peter Brodersen wrote in <news:dr1a50$jin$1@news.klen.dk>:
>>> I en tidligere udgave var der en addslashes() for meget
>>> undervejs.
>>
>>Hm. Hvordan udnytter man det (altså, excessive addslashes())? Kan
>>du give et eksempel på hvornår det er usikkert?
>
> Hm, jeg kan ikke finde den passende patch, så måske husker jeg
> forkert. Sandsynligvis var det i en kombination med en kæk
> str_replace(), som man stadigvæk kan finde i koden med:
>
> .. str_replace('\\', '\\\\', addslashes($highlight_match)) ..
Ja, det ser unægteligt lidt tvivlsomt ud, uagtet at jeg ikke lige kan
komme på en måde at udnytte det på -- men jeg er heller ikke ligefrem
ekspert i kode-integritet.
[klip om kompleks escaping i php]
> Foo \' Bar " Baz
> Foo ' Bar \" Baz
Det er godt nok lidt obskurt. Det er ikke umuligt at det kan bruges til
at udnytte ovenstående på en ikke-tiltænkt måde, specielt hvis de
skifter lidt frem og tilbage mellem at bruge ' og " i deres kode,
hvilket de sikkert gør.
> preg_replace_callback() er den hensigtsmæssige måde at gøre det
> på.
Det vil jeg prøve at huske, tak.
> Uanset hvad er der for meget trial-and-error ved at skulle
> fikse et sådan stykke selv-dobbelt-eval'ende kode, der inkluderer
> brugerinput.
Ja, jeg skal ikke nyde noget. Så hellere skrive noget andet fra bunden,
som nævnt.
--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php
This space for rant.
| |
Alex Holst (23-01-2006)
| Kommentar Fra : Alex Holst |
Dato : 23-01-06 18:31 |
|
Niels Callesøe wrote:
> Ja, jeg skal ikke nyde noget. Så hellere skrive noget andet fra bunden,
> som nævnt.
Når du gør det, så husk at skrive koden så dit produkt er let at pakke
ind i en chrooted apache og en "sikret" PHP.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
Niels Callesøe (23-01-2006)
| Kommentar Fra : Niels Callesøe |
Dato : 23-01-06 19:04 |
|
Alex Holst wrote in
<news:43d512c3$0$2089$edfadb0f@dtext02.news.tele.dk>:
>> Ja, jeg skal ikke nyde noget. Så hellere skrive noget andet fra
>> bunden, som nævnt.
>
> Når du gør det, så husk at skrive koden så dit produkt er let at
> pakke ind i en chrooted apache og en "sikret" PHP.
/Hvis/ jeg var gal nok til at gøre alvor af det -- hvilket jeg ikke
er[0] -- så ville jeg nok starte med netop det som platform. Måske også
med hardened-php patch, men på den anden side er det nok ikke så smart
at kode ud fra nogle bestemte sikkerhedskriterier, når koden vil blive
anvendt ude i verden på systemer der ikke har dem.
[0]: Jeg har hverken tiden eller evnerne, selvom jeg tror der kunne
være et marked der er stort nok til at der kunne laves en <grimt
manglement-udtryk klippet ud> på det.
--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php
Busine... busee... biis... nej, jeg kan ikke sige det.
| |
Christian E. Lysel (23-01-2006)
| Kommentar Fra : Christian E. Lysel |
Dato : 23-01-06 09:27 |
|
Peter Brodersen wrote:
> I phpbbs tilfælde vil det typisk ikke give nogen som helst sikkerhed
> at have opdelte database-brugere, idet informationer om de forskellige
> database-brugere typisk alligevel vil være tilgængelige for scriptet.
Det kræver angriberen kan finde et script der vil lække den oplysning,
og at angriberen derefter kan finde et script hvor oplysningen kan
bruges.
Jeg så det blot som en mulighed for at begrænse angrebsmulighederne.
| |
Peter Brodersen (23-01-2006)
| Kommentar Fra : Peter Brodersen |
Dato : 23-01-06 12:11 |
|
On Mon, 23 Jan 2006 09:26:38 +0100, "Christian E. Lysel"
<sunsite.dk@spindelnet.dk> wrote:
>> I phpbbs tilfælde vil det typisk ikke give nogen som helst sikkerhed
>> at have opdelte database-brugere, idet informationer om de forskellige
>> database-brugere typisk alligevel vil være tilgængelige for scriptet.
>
>Det kræver angriberen kan finde et script der vil lække den oplysning,
>og at angriberen derefter kan finde et script hvor oplysningen kan
>bruges.
Som sagt, "i phpbbs tilfælde". Når man har adgang til at eval'e kode,
så er man temmeligt godt kørende i første omgang.
--
- Peter Brodersen
Find dig selv: http://map.ter.dk/
| |
Michael Rasmussen (19-01-2006)
| Kommentar Fra : Michael Rasmussen |
Dato : 19-01-06 19:24 |
|
On Thu, 19 Jan 2006 15:39:39 +0000, Niels Callesøe wrote:
>
> Jeg savner stadig at nogen udpeger et bare middelmådigt alternativ. phpBB
> er ubrugeligt, men det ville da være rart om der fandtes noget der ikke
> var det.
postnuke skulle efter sigende være et godt alternativ, hvor sikkerhed
tages seriøst. Jeg prøvet det i det små, og jeg fandt ingen problemer.
Jeg har også haft phorum kørende på en server igennem 3 år, uden
sikkerheden er blevet kompromitteret.
--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917
| |
Jens S. Rasmussen (24-01-2006)
| Kommentar Fra : Jens S. Rasmussen |
Dato : 24-01-06 20:01 |
|
Hvad er hax0red ? og jo der har været meget trafik på port 25
og hvordan slipper jeg af med det hersens hax0red ? hvis det da er det
jeg kører med en af de nyeste phpbb
Jens
"Kent Friis" <nospam@nospam.invalid> skrev i en meddelelse
news:43ce706d$0$15795$14726298@news.sunsite.dk...
> Den Wed, 18 Jan 2006 10:49:04 +0100 skrev Jens S. Rasmussen:
>> Jeg har fundet ud af min apache går amok efter 7 til 10 dage efter jeg
>> har
>> installeret phpBB
>> eller det vil sige at jeg ikke er sikker på at det er det, jeg ved ikke
>> hvordan jeg finder ud af hvad det er der sker, kan i hjælpe ?
>> der sker simpelthen det at den sluger alt cpu kraft på den ene af de to
>> cpu
>> jeg har, set med komandoen "top"
>> efter genstart af apache kører det fint igen
>
> Har du opdateret til nyeste version af phpBB?
>
> Er der usædvanlig trafik (fx port 25) når det sker?
>
> (Jeg spørger fordi når jeg ser "phpBB" er det første jeg tænker
> "hax0red".
>
> Mvh
> Kent
> --
> Hard work may pay off in the long run, but laziness pays off right now.
| |
Jens S. Rasmussen (26-01-2006)
| Kommentar Fra : Jens S. Rasmussen |
Dato : 26-01-06 15:15 |
|
det var linuxday worm
Jens
| |
|
|