Jumlah posting : 33 Join date : 06.05.08 Age : 36 Lokasi : Bengkulu - Malang
Subyek: Seidikit Kelemahan Script PHP Tue May 27, 2008 9:52 am
PHP adl bahasa pemrograman web yang kehandalannya tidak diragukan lagi. Tapi adanya kesalahan dalam logika pemrograman php akan bisa berakibat fatal. yah namanya ga ada gading yg ga retak..
Kode diatas memiliki kelemahan yang fatal, variabel “file” sama sekali ga difilter,jdi hacker bs mndownload file apapun yang ada di server tsb. Misal hacker mengakses alamat http://korban/download.php?file=../../../../../../etc/passwd maka file /etc/passwd milik server akan dikirimkan ke hacker.
Sedangkan untuk mencari korban bisa kita gunakan google, misalkan dengan syntax inurl:”download.php?file=” , atau inurl:”download.php?file=*.pdf” -intext:”download.php?file=*.pdf” atau yang lainnya.
kalo mo cegahnya: 1. lakukan pemfilteran terhadap inputan yang diterima dari user. Misalkan pemfilteran terhadap karakter “../”, “%00”, atau type file yang boleh didownload. 2. lakukan pembatasan file access 3. berikan batasan, file di folder mana saja yang boleh didownload atau tidak 4. untuk menghindari googling, hindari penamaan script dengan nama “download.php” dan nama variabel dengan nama “file”.
jadi hati2 yaa, biar ga ada yang jadi korban...
the_earth
Jumlah posting : 32 Join date : 22.05.08
Subyek: Re: Seidikit Kelemahan Script PHP Mon Jun 09, 2008 4:54 am
melakukan filternya itu 'mang harus kita sendiri, gw belom pernah nemu bahasa pemrograman yang secara otomatis bisa memfilter suatu variabel, semuanya pasti diseleksi dari user-input (seperti yang @atas bilangin)...
Subyek: Seidikit Kelemahan Script PHP 
Tue May 27, 2008 9:52 am
