[quote=esskar,15.12.2005, 16:20][quote=Guest,15.12.2005, 15:47]Irgendwie kann ich mich mit dieser Antwort nicht anfreunden.
Schlecht drauf heute?[/quote]
nö. aber es ist schwachsinn.
ich beschäftige mich jetzt seit ca. 6 jahren mit security - und es ist mir noch nie untergekommen, dass ein schreiben in ein filehandle ein security problem darstellen sollte[/quote]
Dazu hab ich im Netz was gefunden dass m.E. sehr böse aussieht

was ist denn das für eine blacklist? soll das eine liste von html-tags sein?
was soll dann z.B. xterm da drin? was soll das für einen schaden anrichten?
ich weiß ja nicht, ob du einige ratschläge einfach nur überliest oder ignorierst,
aber eine whitelist ist empfehlenswert und eine blacklist ist etwas, was man nicht
tut. ganz einfach.
<body onload="alert('hehe')">
<input onChange="alert('pech gehabt')">

edit: s/whitelist/blacklist/\n\n

<!--EDIT|pq|1134846701-->

[quote=Bauhaus,16.12.2005, 16:17][quote=esskar,15.12.2005, 16:20]nö. aber es ist schwachsinn.
ich beschäftige mich jetzt seit ca. 6 jahren mit security - und es ist mir noch nie untergekommen, dass ein schreiben in ein filehandle ein security problem darstellen sollte[/quote]
Dazu hab ich im Netz was gefunden dass m.E. sehr böse aussieht
[/quote]
es ging um schreiben in ein filehandle. seufz.
dass du den dateinamen nicht aus dem userinput nimmst, versteht sich
doch von selbst!

[quote=Bauhaus,16.12.2005, 15:43][quote=Taulmarill,16.12.2005, 13:41][quote=Bauhaus,16.12.2005, 11:17]Eine Frage ist mir noch eingefallen:
wie kann ich feststellen ob ein Formular von meinem Skript stammt oder ob da jemand Formulardaten direkt an das Skript sendet?[/quote]
ich muss gwendragon wiedersprechen. die antwort lautet imo "das kannst du nicht".

der webbrowser ist ein programm auf dem rechner des benutzers welches sich deiner kontrolle entzieht. alle kontrollmechanissmen die voraussetzen, dass der browser irgendetwas bestimmtes tut oder verhindert können umgangen werden. wenn ich also daten bei dir einschleusen will, dann kann ich mir erst einmal das formular von  deiner seite holen, und dann eine entsprechende antwort basteln. gehe immer davon aus, dass formulardaten alles mögliche enthalten können. es sind usereingaben und sollten auch so behandelt werden.[/quote]
Irgendwo hab ich mal gelesen dass die Formularherkunft per $ENV{'REMOTE_ADDR'} ermittelt werden kann; aber wie das funktionieren soll ist mir absolut schleierhaft.
Kennt jemand von euch eine solche Methode?[/quote]
$ENV{REMOTE_ADDR} ist die ip-adresse des absenders.
das kann z.b. auch ein proxy sein. aber das sagt doch nichts darüber aus,
ob das wesen hinter der ip-adresse ein mensch oder LWP ist.
ich weiß ja nicht, was du für einschlägige literatur hast, aber es ist
offensichtlich die falsche.
was taulmarill gesagt hat, ist schon völlig richtig, man kann mit einem
skript problemlos so tun, als wäre man ein mensch, wenn es um das
automatisierte ausfüllen eines formulars geht.
außer mit captchas o.ä. wirst du es nicht verhindern können.

nein, wirklich nicht.

glaub uns.

[quote=Bauhaus,16.12.2005, 15:59]system
exex
eval
grep
xterm
xhost
virtual
include[/quote]
versteh ich nicht...
diese dinge brauchst du nicht abfangen.
zumindest dann nicht, wenn du nicht mit eval arbeitest!

[quote=pq,16.12.2005, 16:24]was ist denn das für eine whitelist? soll das eine liste von html-tags sein?
was soll dann z.B. xterm da drin? was soll das für einen schaden anrichten?
ich weiß ja nicht, ob du einige ratschläge einfach nur überliest oder ignorierst,
aber eine whitelist ist empfehlenswert und eine blacklist ist etwas, was man nicht
tut. ganz einfach.
<body onload="alert('hehe')">
<input onChange="alert('pech gehabt')">[/quote]
Vielleicht habe ich mich da falsch ausgedrückt.
Seufz - das war/ist die blacklist. ;-)

[quote=pq,16.12.2005, 16:27][quote=Bauhaus,16.12.2005, 16:17][quote=esskar,15.12.2005, 16:20]nö. aber es ist schwachsinn.
ich beschäftige mich jetzt seit ca. 6 jahren mit security - und es ist mir noch nie untergekommen, dass ein schreiben in ein filehandle ein security problem darstellen sollte[/quote]
Dazu hab ich im Netz was gefunden dass m.E. sehr böse aussieht
[/quote]
es ging um schreiben in ein filehandle. seufz.
dass du den dateinamen nicht aus dem userinput nimmst, versteht sich
doch von selbst![/quote]
Irgendwie raff ich das jetzt nicht.
Mit '>' schreibe ich doch tatsächlich in ein File(handle) - oder habe ich dich da mißverstanden?

[quote=pq,16.12.2005, 16:31][quote=Bauhaus,16.12.2005, 15:43][quote=Taulmarill,16.12.2005, 13:41][quote=Bauhaus,16.12.2005, 11:17]Eine Frage ist mir noch eingefallen:
wie kann ich feststellen ob ein Formular von meinem Skript stammt oder ob da jemand Formulardaten direkt an das Skript sendet?[/quote]
ich muss gwendragon wiedersprechen. die antwort lautet imo "das kannst du nicht".

der webbrowser ist ein programm auf dem rechner des benutzers welches sich deiner kontrolle entzieht. alle kontrollmechanissmen die voraussetzen, dass der browser irgendetwas bestimmtes tut oder verhindert können umgangen werden. wenn ich also daten bei dir einschleusen will, dann kann ich mir erst einmal das formular von deiner seite holen, und dann eine entsprechende antwort basteln. gehe immer davon aus, dass formulardaten alles mögliche enthalten können. es sind usereingaben und sollten auch so behandelt werden.[/quote]
Irgendwo hab ich mal gelesen dass die Formularherkunft per $ENV{'REMOTE_ADDR'} ermittelt werden kann; aber wie das funktionieren soll ist mir absolut schleierhaft.
Kennt jemand von euch eine solche Methode?[/quote]
$ENV{REMOTE_ADDR} ist die ip-adresse des absenders.
das kann z.b. auch ein proxy sein. aber das sagt doch nichts darüber aus,
ob das wesen hinter der ip-adresse ein mensch oder LWP ist.
ich weiß ja nicht, was du für einschlägige literatur hast, aber es ist
offensichtlich die falsche.
was taulmarill gesagt hat, ist schon völlig richtig, man kann mit einem
skript problemlos so tun, als wäre man ein mensch, wenn es um das
automatisierte ausfüllen eines formulars geht.
außer mit captchas o.ä. wirst du es nicht verhindern können.

nein, wirklich nicht.

glaub uns.[/quote]
Ich glaube euch ja ...
hatte ja selbst angezweifelt dass eine solche Methode möglich ist - tztz :-)

[quote=esskar,16.12.2005, 16:39][quote=Bauhaus,16.12.2005, 15:59]system
exex
eval
grep
xterm
xhost
virtual
include[/quote]
versteh ich nicht...
diese dinge brauchst du nicht abfangen.
zumindest dann nicht, wenn du nicht mit eval arbeitest![/quote]
Darauf komme ich dann nochmal zurück wenn den den Link zu dem entsprechenden Exploit wieder gefunden habe.
Jedenfalls hatte ich aus dem (bösartigen) Skript u.a. die Erkenntnis gewonnen dass xterm und xhost Zugriffe relativ einfach auf einem fremden Server zu installieren sind wenn '\\x\w{2,}' nicht aus dem User-Input entfernt wird (daher habe ich nicht nur '\\x\w{2,}' abgeschossen sondern auch xterm und xhost verbannt - doppelt genäht hält besser).
Mache ich mir da zuviel Sorgen?\n\n

<!--EDIT|Bauhaus|1134752884-->

Leute ...
es geht mir in diesem Thread nicht darum mich mit irgendjemandem zu streiten, sondern es geht mir allein darum Erkenntnisse hinsichtlich der Sicherheit von CGI Skripten zu gewinnen.
Wenn meine Fragen (und Äußerungen) jemandem ganz böse auf die Nerven gehen, dann bitte ich das zu Entschuldigen (oder meine Texte einfach zu überlesen).
Können wir auf dieser Basis weitermachen?