Willkommen bei Network & Security     remoteshell-security.com
Partnerseiten
login.php?sid=48dad1200d5e55f1de23b54d7334fb44 profile.php?mode=register&sid=48dad1200d5e55f1de23b54d7334fb44 faq.php?sid=48dad1200d5e55f1de23b54d7334fb44 memberlist.php?sid=48dad1200d5e55f1de23b54d7334fb44 search.php?sid=48dad1200d5e55f1de23b54d7334fb44 index.php?sid=48dad1200d5e55f1de23b54d7334fb44

Foren-Übersicht » Internetprogrammierung » [Apache/PHP] Problem mit GET Ausgabe
Neues Thema eröffnen  Neue Antwort erstellen Vorheriges Thema anzeigen :: Nächstes Thema anzeigen 
[Apache/PHP] Problem mit GET Ausgabe
BeitragVerfasst am: 14.06.2007 18:17 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hallo zusammen,

ich habe folgendes einfaches PHP-Script:

test.php :

Code:
<?php
 echo "Hallo Benutzer $a";

?>


Nun möchte ich über GET, also über die URL folgendes eingeben:
Code:
http://localhost/test.php?a=affe


Nur seltsamer weise erhalte ich nur ein Hallo Benutzer als Ergebnis Sad , doch an sich müsste es richtig sein. Ja ich weiß auch, dass das Skript XSS anfällig ist, doch darum geht es hier nicht^^

Ich vermute es ist ein Konfigurationsfehler des Apaches von mir, jedoch weiß ich nicht wo ich mit meiner Suche anfangen soll.
Das Skript funktioniert auf jeden Fall, da ich es schon mal temporär auf meinem Webspace getestet hatte.

Ich benutze PHP 5 und Apache 2.2.

Ach so natürlich habe ich auch schon folgende Änderung am Skript durchgeführt:
Code:
<?php
$a = $_GET['a'];
 echo "Hallo Benutzer $a";

?>


Gruß
Daniel

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 14.06.2007 18:41 Antworten mit Zitat
Phara0h
Anmeldedatum: 31.12.2005
Beiträge: 357
Wohnort: /dev/RL




Änder den Code mal folgenderweise ab:
Code:
echo "Hallo Benutzer {$a}";

_________________
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID
BeitragVerfasst am: 18.06.2007 10:35 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hi,

das Problem ist mittlerweile behoben, obwohl das ganze unter funpic funktioniert, funktioniert es jetzt bei mir hier zu Hause auch, wenn ich wie folgt mache:
Code:
<?php
$a = $_GET[a];
 echo "Hallo Benutzer $a";
?>


Dennoch fände ich es interessant warum bei funpic beide Varianten funktionieren und bei mir nur eine Variante, die müssen ja in ihrer Konfiguration irgendwas anders haben.
Naja das Problem ist jedenfalls gelöst.

Gruß
Daniel

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 18.06.2007 17:07 Antworten mit Zitat
Abooya
Anmeldedatum: 04.02.2006
Beiträge: 71
Wohnort: #!/usr/bin/perl




liegt daran, dass es eine variable in der config gibt (irgendwas mit global, ich komm nicht drauf Mad ), die definiert, ob du $_GET bzw. $_POST mit dazuschreiben musst. Für die Sicherheit ist die Variante, die bei dir funktioniert, besser, da jeder sonst Variabeln manipulieren kann. Bsp:
Code:

<?php
$variabledieaufkeinenfallveraendertwerdensoll = 42;
echo $variabledieaufkeinenfallveraendertwerdensoll.$_GET['a'];
?>


Hostest du jetzt das Script auf Funpic, kann jeder einfach durch anhängen von '&variabledieaufkeinenfallveraendertwerdensoll=23' die Variabledieaufkeinenfall... ändern.[/code]

_________________
this.toLowerCase(); Wink
Benutzer-Profile anzeigen Private Nachricht senden ICQ-Nummer
BeitragVerfasst am: 18.06.2007 17:52 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Du änderst die Variable dann nicht, sondern hängst nur eine weitere Variable an die Ausgabe ohne Leerzeichen an.

Die Einstellung, die du meinst, heißt "register_globals" und ist standardmäßig deaktiviert; wie es bei funpic ist, weiß ich nicht.

Diese Einstellung hat mit dem Verhalten, warum man scheinbar $_GET[var] verwenden kann aber kein $_GET['var'], nichts zu tun.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 18.06.2007 18:33 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hallo,

@Abooya

das Script ist bei funpic zwar nicht mehr vorhanden, dennoch wenn man gerade ein Script schreiben möchte um mögliche Schwachstellen zu verdeutlichen, ist es manchmal ärgerlich wenn das Aufgrund einer Einstellung am Webserver nicht möglich ist, wobei man sowas ja eigentlich gut heißen müsste^^

Gruß
Daniel

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
[Apache/PHP] Problem mit GET Ausgabe
Foren-Übersicht » Internetprogrammierung
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Alle Zeiten sind GMT + 1 Stunde  
Seite 1 von 1  

  
  
 Neues Thema eröffnen  Neue Antwort erstellen  


Forensicherheit

Powered by phpBB © 2001-2004 phpBB Group
phpBB Style by Vjacheslav Trushkin
Deutsche Übersetzung von phpBB.de


remoteshell-security.com | Partner | Boardregeln | Impressum