PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : VMS sehr unsicher! SICHERHEIT GEHT VOR!!!



klickfan
23.11.2011, 16:24
1. Warum werden Fehlermeldung Teilweise mit @ unterdrückt und nicht z.b. per index.php z.b.


if($_SESSION['admin'] == 1;)
{
error_reporting(-1);
}
else
{
error_reporting(0);
}2.
Warum werden $_GET nicht ausreichend gefiltert?
z.b. index.php
require ( './content'.$_GET['content'].'.php' );

Ich habe mir VMS ebend erst heruntergeladen und schon so ein mist gefunden :/, und sagt jetzt nicht das die script benutzer leicht haben sollen!

SICHERHEIT GEHT VOR!!!

Lokutos
23.11.2011, 18:58
Kein Bug verschoben nach Diskusionen

Zum Punkt 1
weils bisher so war wird aber in einer neuen version geändert werden bin ich auch nicht mit einverstanden eine unterdrückung von fehlermeldungen
sagt mir persönlich auch nicht zu.

zu Punkt 2


$_GET['content'] = str_replace('.','',$_GET['content']);
$check = explode("../",$_GET['content']);
if (isset($check[1]) && $check[1]!='') {
echo 'Zugriff verweigert!';
exit;
}


Nenn doch einmal ein beispiel in dem dfas Get zu einer sicherheitslücke / gefahr führt...