Problema di sicurezza: contatore che riporta pagine esterne

[antonius79]

Salve ragazzi,

ho creato un contatore in un mio sito utilizzando php e mysql. Questo contatore memorizza anche la pagina che il visitatore visiona. Orbene, spulciando la relativa tabella mysql mi sono accorto che la colonna delle pagine visitate (che dovrebbero essere tutte interne al sito) riporta pagine esterne, accedendo alle quali appare sempre la solita scritta:

<?php echo md5("just_a_test");?>

... che vuol dire?
Tutti i siti ai quali appartengono i link sono fatti in php.

Non essendo un campione di programmazione ma solo uno che si diletta a tempo perso, vorrei capire se ho qualche problema di sicurezza nei miei script.

Nota: Quasi tutte le pagine del sito vengono presentate incluse col comando "include" in un'altra pagina che ne riceve il link tramite metodo GET.

Grazie anticipatamente!

[alcio74]

Beh... probabilmente c'è qualcuno che sta provando ad utilizzare il tuo script per tentare qualche hack.
Probabilmente, te passi via GET delle variabili e poi non pensi a filtrarle in alcun modo.

Il rischio, non tanto per te quanto per i tuoi utenti, è che il tuo sito possa diventare un veicolo di attacchi di tipo XSS.

Ti mando il link alla Guida di Sicurezza in PHP, presente su questo sito.
Ci trovi molti esempi dei più comuni attacchi hacker ed il metodo per provare a bloccarli.

Buon Lavoro!

[antonius79]

Grazie, seguirò i tuoi consigli ;-)

[antonius79]

Avevi ragione.... avevo una falla!

Qualcuno sfruttava il fatto che passavo tramite GET le pagine da includere.
Ho aggiunto il controllo

if (dirname($_GET['link_interno'])==".") ) include($_GET['link_interno'])

e provando io stesso ad includere file esterni non va, quindi ora sono protetto

Per aumentare la protezione effettuo anche un controllo nel database, visto che i vari link vengono anche memorizzati.

Grazie a presto

[alcio74]

quindi ora sono protetto

Occhio che sarai anche protetto dagli include dinamici, ma ci possono essere mille altri metodi per hackare il tuo sito.
Leggi bene la guida e fanne tesoro!

[antonius79]

ci possono essere mille altri metodi per hackare il tuo sito.

Ah beh, lo so benissimo! Quel "adesso sono protetto" si riferiva esclusivamente a quel tipo di "falla". Comunque è un sito di una associazione di volontariato, non credo sia di molto interesse agli hacker, anche se non si sa mai.

Ciao ;-)