++++🔥 ความปลอดภัยกับการโค้ดดิ่ง 🔥+++
การเขียนหน้าเว็บ ที่มีแบบฟอร์มให้กดอัพโหลดไฟล์
...พอกด upload
...ไฟล์นั้นจะถูกนำไปวางบน server ปั๊บ
.
ถ้าเราเขียนโค้ดฝั่ง server ไม่ระมัดระวัง ตัวละก็ ...ฮึๆๆๆ
ก็จะมีรูรั่ว เมื่อhacker เห็น
ก็จะยิ้มหน้าบานเป็นจานดาวเทียม
เขาสามารถโจมตีช่องโหว่ได้ไม่ยากเย็นอะไรนัก
.
ซึ่งจะขอยกตัวอย่างภาษา PHP มาเป็นกรณีศึกษาแล้วกัน
:
😉 สำหรับวิธีโจมตีนี้
อาศัยความง่ายของ php ที่แค่วางไฟล์บน server ในทันใด
เราก็สามารถเรียกไฟล์นั้น ผ่าน url ให้ทำงานได้เลย ในทันที
...ดูง่ายมั๊ยละ!!!!!
.
*** หมายเหตุ แต่ถ้าเป็นภาษาโปรแกรมมิ่งบางภาษา
ที่เข้มงวดความปลอดภัย
การโจมตีแบบนี้จะยาก
เพราะโปรแกรมเมอร์ต้อง config ไฟล์สคริปต์ก่อน
สคริปต์นั้นถึงจะประมวลผลได้
:
:
แต่ในโพสต์นี้จะขอยกตัวอย่างโค้ด PHP ที่มีช่องโหว่นะครับ
ก็ตามรูปที่โพสต์ จะประกอบไปด้วย
:
1) หน้าฟอร์ม HTML (index.html) เอาไว้ให้อัพโหลดไฟล์ (ฝั่ง browser)
2) เมื่อ user กดอัพโหลดไฟล์ ...ไฟล์นั้นจะถูกส่งไปยัง server
3) ฝั่ง server จะใช้ภาษา PHP ง่ายๆ (upload.php) รับไฟล์ที่ส่งเข้ามา แล้วนำไปวางไว้ที่โฟล์เดอร์ใดที่หนึ่งในเครื่อง เช่น uploads
:
😱 ซึ่งการเขียนโค้ดที่ง่ายเกิ๊นไปเช่นนี้
จะเป็นช่องโหว่ให้ hacker
สามารถอัพโหลดไฟล์อันตรายขึ้นไปวางบน server ได้ชิวๆๆ
:
🤔 ดังนั้นเราต้องป้องกันการโจมตีด้วยวิธีนี้ อาทิ
- ต้องเข้มงวดเรื่องนามสกุลไฟล์ว่า ไฟล์ชนิดอะไรที่ห้าม upload (เช่น .php ห้ามทำเด็ดขาด)
- หรือจะใช้ API หรือไลบรารี่ ทำการเชคไฟล์ให้ดีๆ ว่ามีชนิดถูกต้อง
- เชค contet-type ใน header request
- จำกัดขนาดไฟล์ รวมทั้งตรวจสอบชื่อไฟล์ดีๆ
- ไดเรคทอรี่ที่จะอัพโหลดไฟล์ขึ้นไปวาง ควรไม่มีสิทธิในการรันสคริปต์ใดๆ
- ฝั่ง server ควรติดตั้งซอฟต์แวร์ scanner เอาไว้สแกนหาไฟล์แปลกปลอมของ hacker ที่หลอกเข้ามาฝั่งตัว
- ในหน้าฟอร์ม (HTML) เปลี่ยนวิธีส่ง request จากเดิม ที่ใช้ put หรือ get ให้หันมาใช้วิธี post แทน
- และวิธีการอื่นๆ ที่ไม่ได้กล่าวถึง
+++++++++++++++
เขียนโดย โปรแกรมเมอร์ไทย thai programmer
รักกันก็กระทืบ like ชังกันอย่าด่าเยอะมันเจ็บ
.
รายละเอียดเพิ่มเติม
https://www.defensecode.com/…/web_vul…/form-file-upload.html
.
++++ ++++ Safety with the code 🔥 +++
Writing pages with forms to upload files
... Poke upload
... That file will be put on a pump server
.
If we write server side code, I'm not careful. I'm not careful. Haha.
There will be a leak when hacker sees it
I'll smile on my face as a satellite dish
He can attack the loophole. It's not that difficult.
.
Which one would like to sample PHP language as a case study.
:
😉 for how to attack this
Live the simplicity of php that just puts a file on server instantly.
We can call that file through url to work instantly.
... How easy is it!!!!!
.
*** note but if it's some programming language
Safety strictly
This kind of attack will be hard.
Because the programmer has to config the script file first.
That script is processed.
:
:
But in this post, I will give you an example of a PHP code that has a loophole.
As photos posted will include.
:
1) HTML (index. html) to upload file (browser side)
2) When user presses upload file... that file will be sent to server.
3) server side will use PHP language simply (upload. php) Receive the file sent in and put it on a folder of any of the devices such as uploads.
:
😱 Which one of these simple code writing goes like this?
Gonna be a loophole for hacker
Can upload a dangerous file to place on server. Chilling.
:
🤔 So we need to prevent attack this way. This week.
- Must be strict on file extensions. What type of file that cannot upload (e.g.. php don't do it.)
- or use API or Library to check your file correctly.
- contet-type shake in header request
- limit file size and check good file name
- Directory to upload file over to lay should not have any script running rights.
- server side should install scanner software to scan for foreign file of hacker who has tricked into his side.
- In the form (HTML), change the way to send request from the original put or get, turn to the post method instead.
- And other ways not mentioned
+++++++++++++++
Written by Thai programmer thai coder
If you love each other, stomp like each other. Don't scold too much. It hurts.
.
More details.
https://www.defensecode.com/public/web_vulns/form-file-upload.html
.Translated
同時也有4部Youtube影片,追蹤數超過2萬的網紅KanexKane,也在其Youtube影片中提到,ในคลิปนี้จะยาวนิดนึง แต่เคนอยากให้มือใหม่เห็นตอนเคนแก้ปัญหาจริงๆ ครับ ว่าตอนแก้จริงๆ จะสเต็ปประมาณไหน =—————==—————= KanexKane Blog: https://www.kan...
「php header」的推薦目錄:
- 關於php header 在 โปรแกรมเมอร์ไทย Thai programmer Facebook 的最佳貼文
- 關於php header 在 โปรแกรมเมอร์ไทย Thai programmer Facebook 的最讚貼文
- 關於php header 在 英語島雜誌 English Island Facebook 的精選貼文
- 關於php header 在 KanexKane Youtube 的精選貼文
- 關於php header 在 English Island英語島 Youtube 的最佳貼文
- 關於php header 在 prasertcbs Youtube 的最佳貼文
- 關於php header 在 How to fix "Headers already sent" error in PHP - Stack Overflow 的評價
- 關於php header 在 PHP Header Examples - gists · GitHub 的評價
- 關於php header 在 PHP Include and Require | Add a PHP Header and Footer 的評價
- 關於php header 在 Access Control and the PHP Header Function - Rastating 的評價
php header 在 โปรแกรมเมอร์ไทย Thai programmer Facebook 的最讚貼文
++++🔥 ความปลอดภัยกับการโค้ดดิ่ง 🔥+++
การเขียนหน้าเว็บ ที่มีแบบฟอร์มให้กดอัพโหลดไฟล์
...พอกด upload
...ไฟล์นั้นจะถูกนำไปวางบน server ปั๊บ
.
ถ้าเราเขียนโค้ดฝั่ง server ไม่ระมัดระวัง ตัวละก็ ...ฮึๆๆๆ
ก็จะมีรูรั่ว เมื่อhacker เห็น
ก็จะยิ้มหน้าบานเป็นจานดาวเทียม
เขาสามารถโจมตีช่องโหว่ได้ไม่ยากเย็นอะไรนัก
.
ซึ่งจะขอยกตัวอย่างภาษา PHP มาเป็นกรณีศึกษาแล้วกัน
:
😉 สำหรับวิธีโจมตีนี้
อาศัยความง่ายของ php ที่แค่วางไฟล์บน server ในทันใด
เราก็สามารถเรียกไฟล์นั้น ผ่าน url ให้ทำงานได้เลย ในทันที
...ดูง่ายมั๊ยละ!!!!!
.
*** หมายเหตุ แต่ถ้าเป็นภาษาโปรแกรมมิ่งบางภาษา
ที่เข้มงวดความปลอดภัย
การโจมตีแบบนี้จะยาก
เพราะโปรแกรมเมอร์ต้อง config ไฟล์สคริปต์ก่อน
สคริปต์นั้นถึงจะประมวลผลได้
:
:
แต่ในโพสต์นี้จะขอยกตัวอย่างโค้ด PHP ที่มีช่องโหว่นะครับ
ก็ตามรูปที่โพสต์ จะประกอบไปด้วย
:
1) หน้าฟอร์ม HTML (index.html) เอาไว้ให้อัพโหลดไฟล์ (ฝั่ง browser)
2) เมื่อ user กดอัพโหลดไฟล์ ...ไฟล์นั้นจะถูกส่งไปยัง server
3) ฝั่ง server จะใช้ภาษา PHP ง่ายๆ (upload.php) รับไฟล์ที่ส่งเข้ามา แล้วนำไปวางไว้ที่โฟล์เดอร์ใดที่หนึ่งในเครื่อง เช่น uploads
:
😱 ซึ่งการเขียนโค้ดที่ง่ายเกิ๊นไปเช่นนี้
จะเป็นช่องโหว่ให้ hacker
สามารถอัพโหลดไฟล์อันตรายขึ้นไปวางบน server ได้ชิวๆๆ
:
🤔 ดังนั้นเราต้องป้องกันการโจมตีด้วยวิธีนี้ อาทิ
- ต้องเข้มงวดเรื่องนามสกุลไฟล์ว่า ไฟล์ชนิดอะไรที่ห้าม upload (เช่น .php ห้ามทำเด็ดขาด)
- หรือจะใช้ API หรือไลบรารี่ ทำการเชคไฟล์ให้ดีๆ ว่ามีชนิดถูกต้อง
- เชค contet-type ใน header request
- จำกัดขนาดไฟล์ รวมทั้งตรวจสอบชื่อไฟล์ดีๆ
- ไดเรคทอรี่ที่จะอัพโหลดไฟล์ขึ้นไปวาง ควรไม่มีสิทธิในการรันสคริปต์ใดๆ
- ฝั่ง server ควรติดตั้งซอฟต์แวร์ scanner เอาไว้สแกนหาไฟล์แปลกปลอมของ hacker ที่หลอกเข้ามาฝั่งตัว
- ในหน้าฟอร์ม (HTML) เปลี่ยนวิธีส่ง request จากเดิม ที่ใช้ put หรือ get ให้หันมาใช้วิธี post แทน
- และวิธีการอื่นๆ ที่ไม่ได้กล่าวถึง
+++++++++++++++
เขียนโดย โปรแกรมเมอร์ไทย thai programmer
รักกันก็กระทืบ like ชังกันอย่าด่าเยอะมันเจ็บ
.
รายละเอียดเพิ่มเติม
https://www.defensecode.com/…/web_vul…/form-file-upload.html
.
++++ 🔥 Security with code 🔥 +++
Writing a page with a form to upload a file.
... I'm going to upload.
... That file will be put on a pump server.
.
If we write server side code. Not careful, each one is... huhu.
There will be a leaking hole when the hacker sees it.
I will smile. Face is a satellite dish.
He can attack a loophole. Not so hard.
.
Which PHP language example will be a case study.
:
😉 for this way of attack
Live the ease of php that just drops a file on server instantly.
We can call that file via url to work instantly.
... Does it look easy!!!!!
.
*** Note, but if it's a programming language, some language.
Strict safety.
This kind of attack will be hard
Because programmers have to config file scripts first.
That script could be processed
:
:
But in this post, I would like to give you an example of the PHP code with the loophole.
As posted photos will be included.
:
1) HTML form page (index. html) to upload file (browser side)
2) When the user clicks upload a file... that file will be sent to server.
3) Server side uses simple PHP language (upload. php) Receive a sent file and put it in a folder somewhere in a machine such as uploads.
:
😱 which is so easy to write code.
Gonna be a loophole for hacker
Dangerous files can be uploaded to lay on server. Chill.
:
🤔 So we must prevent attack by this method.
- Must be strict about the file extensions. What type of file is prohibited (e.g. Php. Don't do it.)
- Or use API or library to check the file correctly.
- check contet-type in header request
- Limit file size and check good file name
- directory to upload file to paste should not have any script running rights.
- server side should be installed scanner software to scan for hacker foreign files that come to the side.
- In the form page (HTML), change the way to send requests from the original used put or get. Let's turn to post method instead.
- and other methods not mentioned
+++++++++++++++
Written by Thai programmer thai coder
If you love each other, you will stomp like to hate each other. Don't scold too much
.
More details.
https://www.defensecode.com/public/web_vulns/form-file-upload.html
.Translated
php header 在 英語島雜誌 English Island Facebook 的精選貼文
【忘記密碼?】
國外網站統計,38% 的人每隔幾個月重設密碼就又忘了。
另外,根據資安驗證網 Have I Been Pwned(HIBP)和英國資安中心 National Cyber Security Centre (NCSC) 公布的「全球最危險密碼清單」(Global Passwords Risk List)。
至今「123456」依舊蟬聯全球最常被當做密碼的數字串。
《英語島本週精選》
你也用菜市場名當密碼嗎?
https://bit.ly/2UQgL34
我的密碼要如何增強?
https://bit.ly/2ULEhOI
明天愚人節,怎麼可以少了meme
https://bit.ly/2wFJFLt
泰國人「吵架也要笑」?
https://bit.ly/2WXvNqG
除了thank you和please,英文還可以怎樣有禮貌?
https://bit.ly/2WRLf7D
英語島 2020 4月號 issue77
《看不到=/=不重要:密碼》
熱賣中 https://www.eisland.com.tw/P1.php?stat=Header
php header 在 KanexKane Youtube 的精選貼文
ในคลิปนี้จะยาวนิดนึง แต่เคนอยากให้มือใหม่เห็นตอนเคนแก้ปัญหาจริงๆ ครับ ว่าตอนแก้จริงๆ จะสเต็ปประมาณไหน
=—————==—————=
KanexKane Blog: https://www.kanexkane.com
=—————=
toSKYsoft รับทำเว็บไซต์: https://www.toskysoft.com
=—————==—————=
php header 在 English Island英語島 Youtube 的最佳貼文
一般在學校學的,都是formal(正式)的英語,但和朋友聊天、和同事打招呼,多半會用informal(非正式)的語言。
正式英文會創造專業感,非正式的用法則能快速拉近彼此距離。
更多文章:http://eisland.com.tw
訂閱雜誌:http://eisland.com.tw/P1.php?stat=header
php header 在 prasertcbs Youtube 的最佳貼文
การสร้าง header file เพื่อเก็บ function declaration และเรียกใช้งาน
ดาวน์โหลดไฟล์ main.c ได้ที่ https://goo.gl/tJbsmW
ดาวน์โหลดไฟล์ area.h ได้ที่ https://goo.gl/KZdUTg
ดาวน์โหลดไฟล์ area.c ได้ที่ https://goo.gl/r41LKI
เชิญสมัครเป็นสมาชิกของช่องนี้ได้ที่ ► https://www.youtube.com/subscription_center?add_user=prasertcbs
playlist สอนภาษา C เบื้องต้น ► https://www.youtube.com/playlist?list=PLoTScYm9O0GHHgz0S1tSyIl7vkG0y105z
playlist สอนภาษา C++ เบื้องต้น ► https://www.youtube.com/watch?v=_NHyJBIxc40&list=PLoTScYm9O0GEfZwqM2KyCBcPTVsc6cU_i
playlist สอนภาษา C# เบื้องต้น ► https://www.youtube.com/watch?v=hhl49jwOIZI&list=PLoTScYm9O0GE4trr-XPozJRwaY7V9hx8K
playlist สอนภาษาจาวา Java เบื้องต้น ► https://www.youtube.com/watch?v=O3rW9JvADfU&list=PLoTScYm9O0GF26yW0zVc2rzjkygafsILN
playlist สอนการทำ Unit Test ภาษาจาวา Java ► https://www.youtube.com/watch?v=R11yg8hKApU&list=PLoTScYm9O0GHiK3KNdH_PrNB0G3-kb1Bi
playlist สอนภาษาไพธอน Python เบื้องต้น ► https://www.youtube.com/watch?v=DI7eca5Kzdc&list=PLoTScYm9O0GH4YQs9t4tf2RIYolHt_YwW
playlist สอนภาษาไพธอน Python การเขียนโปรแกรมเชิงวัตถุ (OOP: Object-Oriented Programming) ► https://www.youtube.com/watch?v=4bVBSluxJNI&list=PLoTScYm9O0GF_wbU-7layLaSuHjzhIRc9
playlist สอนภาษา R เบื้องต้น ► https://www.youtube.com/watch?v=oy4qViQLXsI&list=PLoTScYm9O0GF6qjrRuZFSHdnBXD2KVICp
playlist สอนภาษา PHP เบื้องต้น ► https://www.youtube.com/watch?v=zlRDiXjYVo4&list=PLoTScYm9O0GH_6LARFxozL_viEsXV2wgO
php header 在 PHP Header Examples - gists · GitHub 的推薦與評價
PHP Header Examples. GitHub Gist: instantly share code, notes, and snippets. ... <看更多>
php header 在 PHP Include and Require | Add a PHP Header and Footer 的推薦與評價
This tutorial will use PHP include and require statements to add a PHP header and footer to a web page. You ... ... <看更多>
php header 在 How to fix "Headers already sent" error in PHP - Stack Overflow 的推薦與評價
... <看更多>