abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 20:44 | Nová verze

    Svobodný a otevřený multiplatformní editor EPUB souborů Sigil (Wikipedie, GitHub) byl vydán ve verzi 2.5.0. Stejně tak doprovodný vizuální EPUB XHTML editor PageEdit (GitHub).

    Ladislav Hagara | Komentářů: 0
    dnes 12:22 | IT novinky

    Na základě národního atribučního procesu vláda České republiky označila Čínskou lidovou republiku za zodpovědnou za škodlivou kybernetickou kampaň proti jedné z neutajovaných komunikačních sítí Ministerstva zahraničních věcí ČR. Tato škodlivá aktivita, která trvala od roku 2022 a zasáhla instituci zařazenou na seznam české kritické infrastruktury, byla provedena kyberšpionážní skupinou APT31, veřejně spojovanou se zpravodajskou službou Ministerstvo státní bezpečnosti (MSS).

    Ladislav Hagara | Komentářů: 14
    dnes 00:11 | Nová verze

    Google Chrome 137 byl prohlášen za stabilní. Nejnovější stabilní verze 137.0.7151.55 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 11 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.

    Ladislav Hagara | Komentářů: 1
    včera 19:22 | Nová verze

    Byl vydán AlmaLinux OS 10 s kódovým názvem Purple Lion. Podrobnosti v poznámkách k vydání. Na rozdíl od Red Hat Enterprise Linuxu 10 nadále podporuje x86-64-v2.

    Ladislav Hagara | Komentářů: 1
    včera 15:11 | Nová verze

    Byl vydán Mozilla Firefox 139.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 139 je již k dispozici také na Flathubu a Snapcraftu.

    Ladislav Hagara | Komentářů: 8
    včera 10:44 | Komunita

    Byly publikovány výsledky průzkumu mezi uživateli Blenderu uskutečněného v říjnu 2024. Zúčastnilo se více než 7000 uživatelů. Téměř 93 % z nich například používá uživatelské rozhraní v angličtině.

    Ladislav Hagara | Komentářů: 16
    26.5. 23:55 | Zajímavý článek

    Lukáš Růžička v článku RamaLama aneb vyháníme lamy na vlastní louku na MojeFedora.cz představuje open source nástroj RamaLama umožňující spouštět jazykové modely v izolovaných OCI kontejnerech, a to bezpečně, bez potřeby mít root přístup k počítači, s podporou GPU či CPU a bez zbytečných obtížností kolem.

    Ladislav Hagara | Komentářů: 1
    26.5. 22:55 | Nová verze

    Byl vydán Sublime Text 4 Build 4200. Sublime Text (Wikipedie) je proprietární multiplatformní editor textových souborů a zdrojových kódů. Ke stažení a k vyzkoušení je zdarma. Pro další používání je nutná licence v ceně 99 dolarů. Spolu se Sublime Merge je cena 168 dolarů.

    Ladislav Hagara | Komentářů: 0
    26.5. 18:00 | Nová verze

    Multiplatformní open source voxelový herní engine Luanti byl vydán ve verzi 5.12.0. Podrobný přehled novinek v changelogu. Původně se jedná o Minecraftem inspirovaný Minetest v říjnu loňského roku přejmenovaný na Luanti.

    Ladislav Hagara | Komentářů: 0
    26.5. 16:11 | Nová verze

    Armbian, tj. linuxová distribuce založená na Debianu a Ubuntu optimalizovaná pro jednodeskové počítače na platformě ARM a RISC-V, ke stažení ale také pro Intel a AMD, byl vydán ve verzi 25.5. Přehled novinek v Changelogu.

    Ladislav Hagara | Komentářů: 0
    Jaký je váš oblíbený skriptovací jazyk?
     (55%)
     (31%)
     (8%)
     (3%)
     (0%)
     (0%)
     (3%)
    Celkem 148 hlasů
     Komentářů: 12, poslední dnes 18:42
    Rozcestník

    Null byte injection v preg_replace a nebezpečný nginx

    10.5.2014 17:00 | Přečteno: 3509× | Web | Výběrový blog | poslední úprava: 10.5.2014 17:43

    Nedávno som bol nútený kvôli hacknutu niekoľkých PHP webov robiť bezpečnostný audit. Narazil som pri tom na niekoľko zaujímavých spôsobov útoku na web. V dnešnom blogu sa pozrieme na 2, ktoré ma zaujali asi najviac.

     Null byte injection v preg_replace

    Volanie funkcií preg_replace vyzerá v zdrojových kódoch pomerne nenápadne a neškodne. Veď čo sa môže stať keď je v projekte nalsledujúci kód?

    preg_replace('/'.$_GET['replace'].'/i', $_GET['with'], $str);

    Toto nevynne vyzerajúce volanie preg_replace umožňuje útočníkovi vykonať ľubovoľný PHP kód a to vďaka niekoľkým nebezpečným vlastnostiam PHP.

    Prvým problémom je, že PHP väčšinou obaľuje C funkcie. C-čkári určite vedia, čo znamená null terminated string. Vložením znaku '\0' do regulárneho výrazu je možné ho kdekoľvek ukončiť.

    Druhým problémom je to, že flagy regulárneho výrazu sa zapisujú priamo do zdrojového kódu.

    Poslednou chybou milých indov je flag e, ktorý umožňuje spustiť výsledok regulárneho výrazu ako PHP kód (hmm, že by sa niekomu nechcelo písať eval?). Nasledovným requestom je možné zobraziť phpinfo.

    http://www.example.com/subor.php?replace=||/e%00&with=phpinfo();

    Takže aby sme sa v budúcnosti vyhli takýmto bezpečnostným problémom je potrebné obaliť užívateľom zadávané parametre preg_replace do preg_quote. Viacej info napr. tu. Krásny príklad použitia si môžte pozrieť na tomto odkaze.

    Zraniteľnosť cgi v spolupráci s nginx

    location ~* \.php$ {
      fastcgi_pass php_cgi;
      ...
    }

    Toto je krásna ukážka diery, pomocou ktorej môže útočník na serveri spustiť ľubovoľný PHP kód. Postačí na server prepašovať súbor obsahujúci PHP kód (napr. avatar obsahujúci <?php ... ?>). Potom stačí do prehliadača zadať nasledujúcu adresu a jpg súbor sa vykoná ako PHP skript.

    http://www.example.com/avatars/123.jpg/file.php

    Ako je to teda možné? Zapísané pravidlo v nginx nám hovorí, že všetky požiadavky končiace sa na .php nasmeruje na PHP CGI. To funguje správne. Problém je zase v PHP.

    V defaultnej konfigurácii však PHP skúsi nájsť súbor avatars/123.jpg/file.php. Ak neexistuje pokúsi sa nájsť súbor s podobnou cestou (v tomto prípade avatars/123.jpg) a vykoná ho ako PHP skript.

    Ako riešenie sa zvyčajne odporúča rôzny tuning nginx, alebo nastavenie cgi.fix_pathinfo=0 v php.ini.

    Zopár informácií o probléme tu, alebo priamo vo wiki k nginx.

    Ešte jeden vtip z dielne PHP. Viete ako sa kontroluje pretečenie int?

    int size;
    size = ...;
    if (size > INT_MAX) return NULL;

    Veľmi výživný text vrátane riešení s floatmi na use.perl.org ;-)

    Vtip 2: žiadne heslo - dobré heslo ;)

           

    Hodnocení: 94 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    Petr Tomášek avatar 10.5.2014 17:31 Petr Tomášek | skóre: 39 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    preg_replace('/'.$_GET['replace'].'/i', $_GET['with'], $str)

    Tak nevím, ale takový kód snad nemůže napsat ani největší zíma...

    multicult.fm | monokultura je zlo | welcome refugees!
    mirec avatar 10.5.2014 17:40 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    Tiež som si hovoril. Radšej pomlčím o tom, v koľkých pluginoch wordpressu som takýto kód našiel ...
    LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
    13.5.2014 09:45 R
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    Idealny pocet volani preg_replace() v kode je nula. Niektori ludia sa vsak vyzivaju v regularnych vyrazoch a nasekaju tam potom kopu tazko riesitelnych bugov.
    pavlix avatar 13.5.2014 09:48 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    Regexy jsou nástroj jako každý jiný, dají se používat dobře i špatně.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    13.5.2014 16:24 Sten
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    Ideální počet volání interpretru PHP je nula. Někteří lidé se ale vyžívají v masochismu a natahají tak na server kopu těžko řešitelných bezpečnostních děr ;-)
    10.5.2014 18:39 ja
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    A co na to mod_security?
    mirec avatar 10.5.2014 20:31 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    Mám tak pocit, že by si poradil s null v preg_replace, ale pravdu povediac nikdy som mod_security nekonfiguroval (nie som správca, len programátor). Samozrejme druhý problém s hádaním cesty nemá šancu ovplyvniť, ale tento typ útoku sa v našom prípade nemohol stať, v každom prípade správanie php cgi ma celkom zaujalo.
    LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
    10.5.2014 19:50 psio
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    PHP je tak bad by design ze prechod na Python/Django bylo jak vysvobozeni. Tim netvrdim ze tu nejsou problemy s bezpecnosti, ale je to uplne jiny level. Chovani typu provedu cokoliv i to co nebylo explicitne volano, hlavne aby to vratilo nejaky vysledek misto vyjimky, me privadely k silenstvi. Uplne me desi ty weby ktery pustilo vedeni na internet a kde je to takovyma pastma prospikovany. Pripominky smetli do kose, hlavne ze to dostal zakaznik v terminu. Az se najde nekdo kdo to bude chtit zneuzit tak tu mame docela pekny botnet :(
    mirec avatar 10.5.2014 22:11 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    Ja momentálne pracujem prevažne na projektoch v djangu. Je to fakt obrovský rozdiel oproti PHP. Hlavne debugovanie (werkzeug) je neskutočne pohodlné. Dnes som narazil na wdb, budem musieť vyskúšať.
    LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
    10.5.2014 20:11 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    A to řešení kontrola na INT_MAX přes float je správné nebo bezpečné?
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    mirec avatar 10.5.2014 22:08 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    Ani správne ani bezpečné, akurát to demonštruje schopnosti programátorov PHP.
    LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
    10.5.2014 22:20 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    Oki, já jenom že píšeš „riešení s floatmi“ a ono to problém neřeší…, tak jsem nevěděl…
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    Jendа avatar 10.5.2014 22:17 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    Asi ne, protože float bude mít (na většině architektur) 24 bitů, ale int 32. Takže dokážeš vyrobit float, který se zaokrouhlí dolu a přeteče ti pár znaků.
    10.5.2014 22:30 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    Ne-ne, float v podání PHP je double a int záleží na architektuře, tedy bude obvykle 64bit a to je, mimo jné, schopné testem projít a být to větší něž INT_MAX (INT64_MAX).
    Pokud máš 64bit systém, tak si zkus:
    php files.php
    <?php
    
    echo (int)PHP_INT_MAX,"<br />\n";
    echo number_format((double)PHP_INT_MAX,0,'.',''),"<br />\n";
    echo "--------------------------<br />\n";
    $var = 9223372036854775808.0;//an expresion
    if ($var > PHP_INT_MAX){
      echo "Error expresion is bigger then INT_MAX";
    }else{
      $myint = (int) $var;
      echo $myint," ¡WOW!<br />\n";
    }
    
    Pokud s eto chce dělat takto je třeba respektovat double a tedy testovat max na 9007199254740991 (nebo zjednodušeně na 15 míst 999999999999999).
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    mirec avatar 10.5.2014 22:32 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    To bol float v zdrojákoch PHP a to je napísané v C, takže float je tam skutočne float.
    LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
    10.5.2014 22:40 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    A já proč se mi to nezdálo a jaktože je tam INT_MAX (místo PHP_INT_MAX) tak to si kluci dělají srandu - doufám. Nicméně na druhou stranu, variantu s INT64 a double je v C/C++ k vidění v různých variantách rozhodně častěji, než by mělo být…
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    12.5.2014 06:27 Matlák
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    Ta narážka na float to calculate length of a string mi připoměla slavný článek PHP is a fractal of bad design. Každý člověk co alespoň trochu zavadil o PHP by si jej měl přečíst :-)
    12.5.2014 06:27 Matlák
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    10.5.2014 22:24 Jirka
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    Ani jedno
    12.5.2014 15:28 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    Nerozbíjí náhodou cgi.fix_pathinfo=0 weby, které závisí na PATH_INFO? Mám za to, že v takových případech je stejně nějaký ten "tuning" nginx potřeba.
    Quando omni flunkus moritati
    mirec avatar 12.5.2014 19:23 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    Áno, rozbíja. Kontrolovať existenciu súboru je možné aj na strane nginx, ale je potrebné aj tak vziať do úvahy možné race condition keď medzi kontrolou a vykonaním cgi bol súbor vymazaný. Najlepšie riešenie je zakázať vykonávanie .php v adresároch, ku ktorým má používateľ právo zapisovať.
    LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
    Petr Tomášek avatar 12.5.2014 21:30 Petr Tomášek | skóre: 39 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    Chyba. Nejlepší řešení je zakázat uživateli zapisovat do jakýchkoliv adresářů, které potom HTTP servíruje. Všechno je nutné ukládat někam mimo a pak mít skript, soubory pojmenovat nejlíp číslem, číslo mít v databázi a pak mít skript, který tyto soubory servíruje.
    multicult.fm | monokultura je zlo | welcome refugees!
    mirec avatar 12.5.2014 22:11 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    Servírovať súbory skriptom je často v praxi nerealizovateľné. So surovým servírovaním súborov cez nginx dosiahnem rádovo 100x vyššiu priepustnosť než so skriptom. Za najlepšie považujem skôr odpútať sa od konceptu spúšťania nejakých skriptov podľa URL adresy a buď používať jazyk kde webová aplikácia routuje URL automaticky, alebo povoliť len hlavný PHP skript a routovať si URL adresy v ňom. Zvyšné súbory môžu byť v takom prípade bezpečne obsluhované priamo webovým serverom.
    LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
    13.5.2014 05:18 Václav HFechs Švirga | skóre: 26 | blog: HF | Kopřivnice
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    U velkých souborů ti také vyprší max execution time. Ale jinak soubory přejmenovat na nějaký hash určitě dobrý nápad je.
    Baník pyčo!
    13.5.2014 16:51 Sten
    Rozbalit Rozbalit vše Re: Null byte injection v preg_replace a nebezpečný nginx
    Ne, nejlepší řešení je používat routing, takže webová aplikace nenačítá kód ze souborů rozházených po adresářích za běhu. Ale to PHP neumí.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.