Some input isn’t properly sanitized before it is returned to the user, rendering the application’s users vulnerable to a XSS flaw.

To resolve this vulnerability, the following patch needs to be applied to the PHP Directory List v3.1 source code which makes use of urlencode instead of strip_slashes to sanitize user input:

1
2
3
4
5

# diff index.php /tmp/directoryv3.1/index.php 
391c391
< 	$baseurl = strip_tags($_SERVER['PHP_SELF']) . '?dir='.urlencode($_GET['dir']) . '&amp;';
---
> 	$baseurl = strip_tags($_SERVER['PHP_SELF']) . '?dir='.strip_tags($_GET['dir']) . '&amp;';

Thanks goes out to Anon for pointing out that this previous vulnerability is originally found in PHP Directory Listing from Evoluted.net.

The programmer in charge has been notified of this issue.

1. Install PECL:
   sudo apt-get install php-auth php5-dev libpcre3-dev
2. Install PHP OAuth Library:
   sudo pecl install oauth
3. Make PHP Load the OAuth Library on PHP Startup:
   sudo echo "extension=oauth.so" > /etc/php5/conf.d/oauth.ini

Now a look at php -m on the command line or phpinfo() in a .php file on your web server should point out that PHP OAuth is ready for use!

Thanks to Darren, I found this easy solution.

One more time, I’d like to thank everybody for your ongoing support and all the positive reviews. It’s nice to see more than 1000 people use your software every single day.

- Benjamin

Die Implementierung von RegioVelo war ein mittelgroßes Softwareprojekt mit folgenden Eckdaten:

• Onlineshop für Abonnements und einmalige Bestellung von Gemüsekisten in Mannheim (link zum Bestellprozess)
• Träger sind die Biotopia Arbeitsförderungsbetriebe Mannheim gGmbH und die Studierendeninitiative SIFE Universität Mannheim.
• Diese Kisten werden nach Hause zum Kunden per Fahrrad geliefert, und zwar von jungen Arbeitslosen die im Rahmen von RegioVelo für den ersten Arbeitsmarkt qualifiziert werden.
• Ein Backend für das Kundenmanagement u.a. mit recht komplexer Zuweisung der Lieferfenster.
• Ein jQuery Wizard Plugin, mit dem man im Handumdrehen aus einem normalen HTML-Formular einen interaktiven “Wizard” erstellt. Dieses Plugin werde ich ASAP veröffentlichen, eine Live-Demo gibt es schon. Absolut cool!
• Cron-Jobs für Bestellung bei Lieferanten & Billing-Schnittstelle zur Buchhaltung
• Backend für die Mitarbeiter, in dem Auslieferungen für den Kunden protokolliert werden.
• Planung der Lieferroute mit Google Maps.

Realisiert wurde das ganze individuell und from scratch in Linux, Apache, MySQL, PHP5 (die alte LAMP-Kombination), da es nicht so schien als würde mir ein Framework viel Arbeit abnehmen können. Ich griff mal wieder zu PHP, weil viele Klassen wiederverwendet werden konnten und meine Node.js-Skills für ein solches Projekt wahrscheinlich noch nicht wirklich effektiv einsetzbar sind.

Ich schließe nun mein kurzes Statusupdate mit den Worten von Manuel Diotte: “Winning isn’t always finishing first. Sometimes winning is just finishing.”

1
2
3
4
5
6
7
8
9
10
11

var MongoStore = require('connect-mongodb');
app.use(express.logger({ format: ':method :url'}));
app.use(express.bodyParser());
app.use(express.methodOverride());
app.use(express.cookieDecoder()); // <= runtime error appears here
app.use(express.session({
	secret: settings.cookie_secret,
	store: new MongoStore({
		db: settings.db
	})
}));

After some investigation I found out that in Express 2.0.0beta3, the function cookieDecoder() has been renamed to cookieParser(); the same comes true for bodyDecoder() which now needs to be called as bodyParser(). At least now I know why some of the example code failed

Because these statistics are generated by awstats.pl, we needed to find a way to regenerate them from our gzipped Apache2 logfiles stored in /var/log/apache2 on our Debian systems.

Here’s our solution to the task at hand, a small shell script:

1
2
3
4
5
6
7
8
9
10
11
12

# Find all gzipped apache log files
for f in `ls access.log.*.gz`; 
# Unzip Logfile
do echo "unzip $f..";
gunzip $f; 
# Call Awstats on this logfile
echo "run awstats..";
perl /usr/lib/cgi-bin/awstats.pl -logfile=`echo $f | replace .gz ''` -update -config=awstats; 
# Gzip Logfile again to save space
echo "gzipping $f.."; 
gzip `echo $f | replace .gz ''`;
done

1

find . -type f -a -name \*.html -o -name \*.js -o -name \*.js | xargs geany &

Have fun!

Ich habe schon viele gute Bewerbungen erhalten, aber sie waren alle nichts gegen den Kerl, der heute morgen per Email hereingeflogen kam. Die Eckdaten waren schonmal vielversprechend:

• 12+ years PHP experience
• 8+ years Perl experience
• sehr ansprechender Stundenlohn

Das klingt nach einem Perl-Guru, der dann auf PHP umgesattelt ist, nicht wahr?

Es wurden zwei PHP-Projekte zur Referenz angeboten, direkt mal angeschaut und vom Stuhl gefallen. Der Grund ist nicht wirklich schwer zu finden, die URL sah wie folgt aus:

http://XXXXXXXXXXXX.com/?main=pce/index.php

Für die Personen die spätestens jetzt total verwirrt sind: Der Homepage wird hinter dem ? der Variable main die Adresse zu einem PHP-Script zugewiesen (und zwar pce/index.php).

Wenn man also den Inhalt von main entsprechend verändert, kann man beliebige Dateien des Servers anzeigen. Beispiel:

So können wir die Datei /etc/passwd auslesen, in der Informationen über die Benutzeraccounts eines Linux-Systems gespeichert sind. Natürlich ist jetzt auch nicht mehr weit bis zu einem erfolgreichen Hack, aber darum geht es an dieser Stelle auch nicht.

Es gab noch einige weitere Sicherheitslücken in seinen Referenzprojekten, und nett wie ich bin habe ich sie ihm natürlich auch sofort mitgeteilt.

Den Job wird er aber nicht bekommen und hiermit verabschiede ich mich, sprachlos.

1

STRG + L

Viel Spaß!