4
PHP - Datenbasis von filter input manipulieren
Hallo,
vieleicht hat ja noch Jemand von Euch eine Idee.
Für eine ältere Web-App würde ich gerne die GET und POST Variablen vorfiltern.
Es handelt sich um eine Software die auf einem LAMP-Server mit PHP 7.2 läuft.
Ich weiß, dass die Software für MySQL-Injections anfällig ist. Ich kann sie nicht hinter eine WAF oder Proxy stecken noch den Code ändern.
Der Programmierer steht auch nicht mehr zur Verfügung.
Ich kann mit auto_prepend_file aber eine PHP-Datei vor der Web-App ausführung und den Inhalt von $_GET und $_POST direkt manipulieren.
Leider nutzt die Software filter_input was sich davon unbeeindruckt zeigt.
Weis Jemand wie ich die Datenbasis von filter_input manipulieren kann?
Danke
Stefan
PS: Von PHP selber gibt es kein Forum und mit den Stichworten "PHP Forum" findet man viele Anbieter von Forensoftware auf PHP Basis.
vieleicht hat ja noch Jemand von Euch eine Idee.
Für eine ältere Web-App würde ich gerne die GET und POST Variablen vorfiltern.
Es handelt sich um eine Software die auf einem LAMP-Server mit PHP 7.2 läuft.
Ich weiß, dass die Software für MySQL-Injections anfällig ist. Ich kann sie nicht hinter eine WAF oder Proxy stecken noch den Code ändern.
Der Programmierer steht auch nicht mehr zur Verfügung.
Ich kann mit auto_prepend_file aber eine PHP-Datei vor der Web-App ausführung und den Inhalt von $_GET und $_POST direkt manipulieren.
Leider nutzt die Software filter_input was sich davon unbeeindruckt zeigt.
Weis Jemand wie ich die Datenbasis von filter_input manipulieren kann?
Danke
Stefan
PS: Von PHP selber gibt es kein Forum und mit den Stichworten "PHP Forum" findet man viele Anbieter von Forensoftware auf PHP Basis.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1933268604
Url: https://administrator.de/contentid/1933268604
Printed on: April 24, 2024 at 10:04 o'clock
4 Comments
Latest comment
Hallo,
ja dann zeig uns doch mal deine prepend_file, meine Glaskugel ist grad im Service
ja dann zeig uns doch mal deine prepend_file, meine Glaskugel ist grad im Service
???
Die ist aktuell noch leer.
Ich kann den Inhalt eines Get- oder Post-Parameters über die Supervariable überschreiben.
$_GET['xyz'] = "blocked";
Aber ich kann den Inhalt auf den filter_input zugreifen nicht manipulieren?
Ich vermute eh, dass es nicht möglich ist, aber vieleicht ja doch.
Stefan
Hallo,
so ich hab da jetzt auch ein wenig herumprobiert, scheint so als holt der sich die RAW Daten.
Was mir als alternative einfallen würde, wäre ein "proxy" script, welches man sich über mod-reqrite dazwsichenhängt, dass dann die bösen Gets filtert und mit einem header(Location: .. ) wieder weiterletiet.
grüße
so ich hab da jetzt auch ein wenig herumprobiert, scheint so als holt der sich die RAW Daten.
Was mir als alternative einfallen würde, wäre ein "proxy" script, welches man sich über mod-reqrite dazwsichenhängt, dass dann die bösen Gets filtert und mit einem header(Location: .. ) wieder weiterletiet.
grüße
Zitat von @godlie:
so ich hab da jetzt auch ein wenig herumprobiert, scheint so als holt der sich die RAW Daten.
befürchte ich ja auch.so ich hab da jetzt auch ein wenig herumprobiert, scheint so als holt der sich die RAW Daten.
Was mir als alternative einfallen würde, wäre ein "proxy" script
Das funktioniert mit der Software leider nicht.
