PHP Seite angreifbar?

H

hury

Erfahrenes Mitglied
Hallo,

ich habe die folgende Seite bei mir auf dem Webspace:

Code: 
<?php
$seite = $_GET['seite'];
$path = '';

if($seite) 
	$seite = $path . $seite . '.php'; 
else 
	$seite = $path . 'home.php'; 

?>


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<link rel="stylesheet" type="text/css" href="main.css" />
</head>

<body>

<?php
if ($seite == 'home.php') {	
echo "<li class='highlight'><span class='menu_r'><a href='index2.php?seite=home'><span class='menu_ar'>Home</span></a></span></li>";
echo "<li><span class='menu_r'><a href='index2.php?seite=unternehmen'><span class='menu_ar'>Das Unternehmen</span></a></span></li>";
echo "<li><span class='menu_r'><a href='index2.php?seite=angebote'><span class='menu_ar'>Angebote</span></a></span></li>";
echo "<li><span class='menu_r'><a href='index2.php?seite=kontakt'><span class='menu_ar'>Kontakt</span></a></span></li>";
echo "<li><span class='menu_r'><a href='index2.php?seite=impressum'><span class='menu_ar'>Impressum</span></a></span></li>";
}

if ($seite == 'unternehmen.php') {	
echo "<li><span class='menu_r'><a href='index2.php?seite=home'><span class='menu_ar'>Home</span></a></span></li>";
echo "<li class='highlight'><span class='menu_r'><a href='index2.php?seite=unternehmen'><span class='menu_ar'>Das Unternehmen</span></a></span></li>";
echo "<li><span class='menu_r'><a href='index2.php?seite=angebote'><span class='menu_ar'>Angebote</span></a></span></li>";
echo "<li><span class='menu_r'><a href='index2.php?seite=kontakt'><span class='menu_ar'>Kontakt</span></a></span></li>";
echo "<li><span class='menu_r'><a href='index2.php?seite=impressum'><span class='menu_ar'>Impressum</span></a></span></li>";
}
 

<?php
include($seite);
?>

</body></html>

In meinem Mail Log stelle ich nun das fest (x Einträge dieser Art):

Code: 
2009-08-11 04:30:40 |< REMOTE=189.81.69.154 SCRIPT=/index2.php -- /usr/sbin/sendmail -t -i
2009-08-11 04:30:40  <= S=1mensagens@voxcards.ig.com.br SZ=5394 D=0 SID=21236445545

Bietet meine .php Seite ein Einfallstor für Spam?

Danke!
 
Ein Angreifer koennte beliebige Datei auf dem Server öffnen, sofern der Benutzer, unter dem der Webserver läuft, die entsprechenden Rechte hat, und er kann beliebigen PHP Quelltext im Rahmen der Anwendung ausführen.

Injection ist dein suchwort
 
Hallo,

könnte mir jemand sagen, ob die folgende Version gegen Injection oder andere Angriffe sicher ist?

Code: 
<?php
$seite = $_GET['seite'];
$path = '';

$inclmap = array(
    'home_ru'      	=> 'home_ru.php',
    'unternehmen_ru' 	=> 'unternehmen_ru.php',
	'angebote_ru'	=> 'angebote_ru.php',
	'kontakt'	=> 'kontakt.php',
	'impressum'	=> 'impressum.php'

   );


if( !empty($_GET['seite'])  && isset($inclmap[$_GET['seite']])) { 
	$content = $inclmap[$_GET['seite']];
}
else 
  $content = 'home_ru.php';
 

?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>tc-holz</title>
<link rel="stylesheet" type="text/css" href="main.css" />
<body>
   <div id="wrapper">
         <div id="header"><img src="images/logo.jpg" alt="" width="900" height="100" /></div>
         <div id="navigation">
		       <div class='menu bubplastic horizontal aqua'>
	<ul>

<?php
if ($content == 'home_ru.php') {	
echo "HOME";
}

?>

	</ul>
	<br class='clearit' />
</div>
	 </div>		 
   </div>

<?php
include($content);
?>

</div>
</td></tr></table></div></body></html>

Danke!
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück