Scoutnet vzw

We connect scouts!
Het is momenteel 16 Nov 2024 2:45

Alle tijden zijn UTC + 1 uur




Plaats een nieuw onderwerp Reageren op dit onderwerp  [ 9 berichten ] 
Auteur Bericht
BerichtGeplaatst: 27 Jan 2004 13:24 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 13 Nov 2003 0:00
Berichten: 133
Hallo, ik ben een leek in al die dingen, heb wel al een paar ideeen hiervoor. Ik heb er al 2 ge-upload maar dan moet je dit installeren en vraag em gegevens. Ik heb al een forum gemaakt. Kan dit dan geen kwaad als je dan nog eens je gegevens van je mysql invult. Sorry maar kweet niet goed hoe ik eht moet uitleggen. Kan iemand me helpen of me eens mailen ( jan.kimpe@pi.be )


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 27 Jan 2004 13:43 
Offline
Site Admin
Site Admin
Gebruikers-avatar

Geregistreerd: 17 Jul 2002 23:00
Berichten: 1522
Woonplaats: Wetteren
Ik probeer je te begrijpen :D . Ik neem aan dat je ergens een script voor een forum/gastenboek/poll hebt gedownload, en dat nu probeert te installeren. Als hij daarbij naar gegevens (username, wachtwoorden) vraagt, mag je die gewoon geven. Hij heeft ze waarschijnlijk nodig om de nodige tabellen aan te maken in je database, en nadien gebruikt hij ze om de data van die tabellen te kunnen invoeren/updaten/verwijderen. Waarschijnlijk plaatst hij een bestandje met jouw login-gegevens ergens in een map op je Scoutnet-map. Let er wel op dat die gegevens veilig zijn weggeborgen, zodat mensen met minder goede bedoelingen ze niet kunnen opvragen en zo je database vernielen.

To


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 27 Jan 2004 19:37 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 13 Nov 2003 0:00
Berichten: 133
veilig zijn weggeborgen ?
Sorry als ik tegensteek met mijn vragen hoor


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 27 Jan 2004 22:28 
Offline
Site Admin
Site Admin
Gebruikers-avatar

Geregistreerd: 17 Jul 2002 23:00
Berichten: 1522
Woonplaats: Wetteren
robrechtdefries schreef:
veilig zijn weggeborgen ?
Sorry als ik tegensteek met mijn vragen hoor

Je checkt best even of iemand anders die gegevens niet zomaar kan opvragen vanuit zijn browser. Bijvoorbeeld: stel dat het script jouw logingegevens bewaart in <i>logingegevens.php</i>, kijk dan even na of iemand op vrij eenvoudige manier jouw loginwachtwoord kan achterhalen. Een hacker zou bijvoorbeeld volgend scriptje kunnen schrijven en uittesten:
Code:
<?php
  include ("http://www.scoutskortemark.be/gastenboek/logingegevens.php");
  echo ("Het wachtwoord voor de database = $wachtwoord");
?>

Dit is wat vereenvoudigd voorgesteld, maar ik hoop dat je begrijpt wat ik bedoel. Zeker als het een gedownloaded script is (iemand anders kan het ook downloaden en weet dan precies hoe je bestanden en variabelen noemen), moet je hier een beetje mee opletten.

Als je me niet helemaal begrijpt, mail me dan of stuur me een pm met je code, dan kijk ik wel even na of er een gevaar is voor hackers.

To


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 27 Jan 2004 23:12 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 16 Nov 2003 0:00
Berichten: 68
To wat raad je dan aan?
gewoon iedere keer een include die een verbinding opstart?
en speciale namen gebruiken voor je variables?
en is mysql_close() nodig voor veiligheid?
Ik gebruik zo al nooit gevoelige variables in mijn headers, en globals staat af, maar is er nog meer dat ik kan doen?

Maarten.


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 27 Jan 2004 23:36 
Offline
Site Admin
Site Admin
Gebruikers-avatar

Geregistreerd: 17 Jul 2002 23:00
Berichten: 1522
Woonplaats: Wetteren
maarten schreef:
To wat raad je dan aan?
gewoon iedere keer een include die een verbinding opstart?
en speciale namen gebruiken voor je variables?
en is mysql_close() nodig voor veiligheid?
Ik gebruik zo al nooit gevoelige variables in mijn headers, en globals staat af, maar is er nog meer dat ik kan doen?

Maarten.

Ik denk dat je met de voorstellen die jij doet al niet veel schrik meer moet hebben. Kijk ook eens in het topc mysql passwd bescherming. Wat ik me net afvraag: als ik een php-bestand dat de verbinding opstelt include, kan ik dan eigenlijk zomaar aan de database prutsen (gegevens aanpassen of tabellen deleten)?

Is includen dan niet heel onveilig?

To


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 28 Jan 2004 0:08 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 22 Jan 2004 0:00
Berichten: 773
Citaat:
Wat ik me net afvraag: als ik een php-bestand dat de verbinding opstelt include, kan ik dan eigenlijk zomaar aan de database prutsen (gegevens aanpassen of tabellen deleten)?
Is includen dan niet heel onveilig?


Goed gezien van je, maar je mist iets in je redenering. Als je dit:
Code:
include("http://www.scoutskortemark.be/gastenboek/logingegevens.php");

in je code zet dan gebeurt het volgende:

1. De php parser op scoutnet maakt een http verbinding met scoutskortemark.be, toevallig ook scoutnet. Maar het kon net zo goed een andere server zijn, dit maakt geen verschil. In het vervolg zal ik dus "die webserver" zeggen als ik het over scoutskortemark op scoutnet heb, om het duidelijk te houden.
2. Die webserver reageert door het gevraagde bestand op te halen en ziet dat het een php bestand is.
3. Die webserver start dus de php parser en voert het php-script uit.
4. De output, en dit is belangrijk, de output(!) stuurt die webserver dus door naar naar jouw php-script.

Maar hierbij stopt het nog niet! Nu komt het security gevaar! En niet voor scoutskortemark, maar voor jou, diegene die het bestand include!

5. De php parser heeft dus eindelijk zijn bestand. Maar een eigenschap van php is dat php code in bestanden die geinclude worden wordt uitgevoerd! Dus stel nu dat in het script van scoutskortemark het volgende stond:
Code:
<? echo("echo(\"Bush is een...\");"); ?>

Dan staat er dus in de output die JOUW php parser nu gaat uitvoeren:
Code:
echo("Bush is een...");

Nou heb jij ff een probleem zeg. Staat daar in koeien van letters op JOUW site dat Bush een ... is. Vliegt daar meteen de CIA, de FBI en de SecretService door jouw vensterraam!
Nu ja voor het zelfde geld had jij eerder in het script al een db connectie gemaakt en stond er in de output sql code om je hele database te droppen. Minder leuk dus.
Daarom laten de meeste webhosts niet toe om includes te doen op bestanden buiten het eigen domein.


Je hebt wel een heel andere situatie als je die http weglaat...

Hopla


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 28 Jan 2004 13:59 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 13 Nov 2003 0:00
Berichten: 133
Mesnen dat gaat hier mijn petje te beven zunne


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 28 Jan 2004 20:32 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 13 Nov 2003 0:00
Berichten: 133
gastenboek en poll staan online


Omhoog
 Profiel  
 
Berichten weergeven van de afgelopen:  Sorteer op  
Plaats een nieuw onderwerp Reageren op dit onderwerp  [ 9 berichten ] 

Alle tijden zijn UTC + 1 uur


Wie is er online?

Gebruikers in dit forum: Geen geregistreerde gebruikers en 20 gasten


U mag geen nieuwe onderwerpen plaatsen in dit forum
U mag geen reacties plaatsen op onderwerpen in dit forum
U mag uw berichten niet wijzigen in dit forum
U mag uw berichten niet verwijderen in dit forum
U mag geen bijlagen plaatsen in dit forum

Zoeken naar:
Ga naar:  
Powered by phpBB® Forum Software © phpBB Group
Vertaald door phpBBservice.nl.