Где тут уязвимость в скрипте PHP?

Question

[psiklop]

Сканер битрикса пишет, что тут есть уязвимость, в чем заключается уязвимость?

$page = basename($_GET['page']);
if (file_exists("pages/$page.php")) include("pages/$page.php");

Answer 1

[prrrrrrr]

PHP include - удаленное включение PHP файла

Comments

[psiklop]

basename для кого ?

Answer 2

[Илья]

Вы абсолютно не проверяете данные пришедшие от юзера. У вас наверняка не произвольный список возможных страниц, можно сделать scandir и проверять существует ли запрашиваемая страницы.

Абсолютно не проверяются относительные пути, то есть технически можно запросить файл "pages/../../../../upload/word.php', а в папку upload положить можно файл множеством путей (причем не все из них из админки).

Comments

[psiklop]

выполните в php basename("pages/../../../../upload/word.php");

Answer 3

[pythonist1234]

Уязвимость в том, что на странице, которую вы include'ите может быть вредосносный код.

Comments

[psiklop]

Чтобы ему там быть, ему надо как-то туда попасть.
По такой логике вредоносный код может быть, где угодно, в том числе и на странице которая уже "инклудит"
Так в чем решение, не "инклудить" страницы по мнению битрикса?

[pythonist1234]

Не пользоваться битриксом, к примеру.

[zorca]

psiklop, любая автоматическая проверка - это рекомендация "как правильно" делать. Приведенный пример без фильтрации поступающих от пользователя данных "неправильный", только и всего. Начать стоит хотя-бы с проверки поступающего имени страницы на наличие допустимых символов, если уж так хочется инклюдить файлы динамически, в обход общепризнанной практики MVC.

[psiklop]

zorca, что за фильтрация, как ее сделать, чтобы bitrix не ругался? Я отфильтровал basename, здесь достаточно, ниже по коду, где запрос к mysql есть еще addslashes.

[zorca]

psiklop, проверка же не отвечает вам да/нет, наверное приведена конкретная уязвимость и направление решения? Мы же не будем вас пытать, чтобы вытянуть всю необходимую для ответа информацию.

[zorca]

psiklop, вот аналогичный вашему кейсу пример с фильтрацией: https://site-ontop.ru/novosti-stati/bitrix/117-bit...

[psiklop]

zorca, вообще никакого направления не дают :(
Уязвимость называется "File Inclusion"

[pythonist1234]

Ну так логично же, "File Inclusion" - include файла.

[psiklop]

zorca, полезно, но там другая уязвимость "Cross Site Scripting", вряд ли мне поможет :(
А в другом месте еще и навредит, так как заменит кавычки на HTML мнемоники и поиск по базе MYSQL пройдет неверно

[psiklop]

pythonist1234, эт я понял, или не пользоваться Bitrix или не 'инклудить' файлы
Скрипт-то вообще к Bitrix не имеет отношения, он просто в каталоге сайта залит :)

[zorca]

psiklop,

не пользоваться Bitrix

- это как-бы само собой разумеется. Нормальный программист с Битрикс не свяжется.

Answer 4

[Александр Аксентьев]

Через это все равно можно покопаться в файлах, как минимум узнать какие существуют в той же директории.
А можно и подключить что-то интересное получится.

Самый норм вариант проверять по белому списку допустимые значения, а не подключать что угодно.

Comments

[psiklop]

Пример практический как подключить что-то интересное в студию, плиз?
Пусть копаются, это не суть, там только те файлы, что есть страницы, суть вопроса как успокоить сканер.

[Александр Аксентьев]

psiklop, ну он же наверно пишет причину, а не просто "уязвимость"?

[psiklop]

Александр Аксентьев, это мой скрипт, просто его залили в папку с сайтом и там теперь сканер ругается, причина как я понял в этих 2 строчках и она называется "File Inclusion"