Kötü Senaryo - Php.net bug (cached.php)

23 Ocak 2015 Cuma

Merhabalar,

Diaryofinjector.com için hazırlamış olduğum 2. makalemde php.net web sitesinde bulduğum bugdan bahsedeceğim. Meraklı arkadaşlar php.net websitesinin kaynak kodları aşağıda ki github linkinden inceleyebilir.

https://github.com/php/web-php


Öncelike bu bug mevcut sitede herhangi bir güvenlik zafiyetine yol açmamaktadır. Fakat php.net'in opensource olarak kaynak kodlarını github'a yüklemediğini ve mevcut kodlamada veritabanı bağlantı bilgilerinin varolabileceğini düşünürsek bu ciddi bir güvenlik zafiyetine yol açacaktır. Yani mevcut php kaynak kodu ve veritabanı leak edilecekti. Aşağıda resimlerini göreceğiniz bug ile bu kötü senaryo çok basit bir şekilde gerçekleşebilir.

php.net'in web sitesini açıyoruz.

Sayfanın kaynak kodunu incelediğimizde css dosyalarının cached.php dosyası üzerinden çağrıldığını gördük.

Hemen ilgili css dosyasına cached.php üzerinden bakıyoruz.

f parametresi ile ilgili dosyanın çağrıldığı yolu index.php ile değiştiriyoruz ve kaynak koduna bakıyoruz.

Bingo!! PHP kodları ekranda.

Güvenli kodlamalar.

Share this article :

5 yorum:

  1. php.net de ilgili bir açıklama :)

    /*
    Yes, we know this can be used to view the source for any file
    in the docroot directory. This is intentional and not an LFI
    vulnerability. The source code for everything in the docroot
    is publicly available at

    https://github.com/php/web-php

    so there is no vulnerability here. You can't use this to view
    anything that is private.
    */

    YanıtlaSil
  2. Evet konu ile ilgili yazdıkları comment efsane. LFI var diyor fakat ısrarla dizinimiz public diyor. Kötü örnek. Başlığı bu yüzden kötü senaryo olarak seçtim :)

    YanıtlaSil
  3. zaten lfi da değil aslında arbitrary file read :D

    YanıtlaSil
  4. bi de hepsini geçtim bunlar zamanında başka yolu yokmuş gibi css i böyle çağırmış anlaşılan şimdi de erkekliğe bok sürdürmemek için evet biliyoruz farkındayız açık değil diyolar :D

    YanıtlaSil

 
Support : Copyright © 2014. Diary of Injector - All Rights Reserved