[pajas]

Bithack har slåt till (igen?)
citat från bithack´s hemsida

Citat:

During the past weeks, there has been some reports on that members of bithack have broken into sites and defaced their front pages, mainly swedish communities (Including http://www.jesper.nu/, http://www.flaskegger.net/ and http://www.krogliv.com/). This is done to show you how powerful my Code Execution in Images technique is. If you are interested in HOW those communities and sites got hacked, browse into our articles section and click "Web hacking", and there you have it. Good luck.

så om jag fattat rätt så har dom lagt i php/asp kod i bilder och skickat upp det på serven.
kan man skydda sig mot detta ?

[wiggin]

Fördelen är ju att de har skrivit exakt hur de går tillväga på sin sida. Och längst ner under "File extensions" förklarar har ju ett problem(lösningen). Se till att man bara kan ladda upp filer med rätt extensions. Samt att bara php/asp-motorn är mappad till endast .php/.asp filer och inte körs vid .jpg.

[FredrikMH]

ett vanligt fel jag gjorde i början var att jag hade en lista på filtyper som var godkända. Det dumma var att jag endast kollade om filnamnet innehåll exempelvis .jpg. Man kunde alltså ladda upp filer med namn i stil med fil.jpg.php. Klantigt men det utnyttjades aldrig som tur var.

[kullervo]

Pajas: Om man kan skydda sig? Läst artikeln en gång till. Grundfelet som sdac beskriver är att vissa sajter endast kollar på mime-typen SOM KLIENTEN SKICKAR när man laddar upp bilder.

Det är lustigt att kända sajter är så dåligt kodade. Typiskt icke-programmerare som lärt sig PHP bara för att få sin sajt att rulla. Nybörjare borde varnas från att använda PHP. Har man inte koll på bitarna så är det mycket lättare att göra fel som inte skulle uppstått med t.ex. ASP eller JSP. Det finns massor av ariklar som beskriver det här närmare så jag ska inte bli långrandig.

[Mattias]

Citat:

Originally posted by kullervo@Dec 25 2005, 18:27
Nybörjare borde varnas från att använda PHP.

Någonstans bör man ju börja, inte alltid lika lätt för alla.
Se på mig bara, ber om hjälp hela tiden *rankar sig lågt*

Men är väl lite "skyll dig själv som inte kollade upp det där, du som har så många besökare, blaha blaha".
Anyways, tycker inte nybörjar ska hålla sig borta. Låter helt fel att inte få börja lära sig :huh:

[kullervo]

Citat:

Ursprungligen postat av Mattias

Citat:

Någonstans bör man ju börja, inte alltid lika lätt för alla.

Precis. Inte lika lätt för alla och därför bör man välja ett språk som inte kräver lika mycket av programmeraren om man inte har koll på bitarna.

En vän till mig tog av någon konstig anledning på sig uppdraget att bygga en webbutik på kort tid i PHP med MySQL backend. De enda förkunskaperna han hade var lite basic HTML. Han är smart och duktig programmerare så jag pekade bara i rätt riktningar, beskrev lite vanliga problem (som kapning av sessioner, SQL injection osv) och skummade igenom hans kod ett par gånger under tiden han höll på. Efter en vecka var han klar och resultatet blev en bra, säker och flexibel webbutik. Inga problem där inte. Men om man hållt på att programmerat webbsidor länge (som förmodligen snubben/-arna som gör krogliv.com) och gör något så otroligt korkat som att inte kontrollera vad det är för filer som användarna laddar upp så bör man nog byta plattform till någon som är striktare och med mer inbyggd säkerhet.