Sicherheitslöcher in Web-Skripten sind nichts Neues. Meist entstehen Einfallstore für Cracker, wenn unerfahrene Programmierer am Werk waren. Diese Probleme begegnen uns auch wenn es um die Einrichtung eines an sich einfachen Download-Zählers geht.
Aufgabe: Ein Programmierer soll ein PHP-Skript erstellen, das die Anzahl der Downloads von auf dem Webserver gespeicherten Dateien zählt. Das ist im Grunde eine triviale Aufgabe. Das folgende Beispiel-Skript „sonicht.php“ erledigt das im Nu – aber verwenden Sie es NICHT, denn es ist ein Sicherheitsloch!
Das Skript kann zum Beispiel so aufgerufen werden: http://webserver/sonicht.php?name=DATEI.ZIP, wobei die angegebene Datei natürlich vorhanden und für den Webserver lesbar sein muss. Das Skript sendet an den Browser spezielle HTTP-Header und protokolliert den Download. Der Browser kann den Nutzer nach einer bestimmten Aktion fragen: DATEI.ZIP speichern oder mit einem Programm öffnen?
Das Skript macht was es soll. Aber es ist eine Einladung an Cracker. Es liefert Angreifern wertvolle Informationen für einen Angriff – zum Beispiel wenn als Dateiname „/etc/passwd“ angegeben wird – etwa so: „http://webserver/sonicht.php?name=/etc/passwd“.
Die Datei /etc/passwd ist auf Unix- und Linux-Systemen die Datei, in der die eingerichteten Benutzerkonten gespeichert sind. Noch schlimmer wäre es, wenn der Webserver mit den Superuser-, also Root-Rechten läuft. Dann wäre auch die Datei /etc/shadow vom HTTP-Server lesbar, welche die verschlüsselten Passwörter der Systembenutzer enthält. So hätte der Angreifer alle Informationen, um in Ruhe auf seinem eigenen Rechner einen Brute-Force-Angriff zu starten, dem simpel aufgebaute Passwörter binnen Sekunden zum Opfer fallen. Der Angreifer könnte sich dann ganz normal auf dem Server einloggen.
Und das ist nicht einmal alles. Es ist auch möglich, dem Webserver fremde Dateien „unterzuschieben“. Das geschieht nicht tatsächlich. Aber Nutzer könnten es so auffassen, beispielsweise bei dieser URL: „http://webserver/sonicht.php?name=http://crackerhost/trojaner.exe“. Das Skript würde die Datei herunterladen und dem Browser ganz normal übermitteln. Solche präparierten URLs könnten für Phishing-Ernten verwendet werden, was nebenbei bemerkt auch zu einem höheren Transfervolumen auf dem Server führen würde.
Ursache für diese Beispiel-Löcher sind Leichtgläubigkeit und Unerfahrenheit. Die wichtigste Maxime kennen Sie vielleicht: „Traue nichts und niemandem“. Alles, was öffentlich aufgerufen werden kann, kann Ziel von Angriffen sein. Daher müssen alle Eingaben grundsätzlich vor der Weiterverarbeitung geprüft werden. Im Negativ-Beispiel müsste man recht aufwändig den übergebenen Dateinamen von unerlaubten Zeichen und Zeichenfolgen säubern, was erfahrungsgemäß meist nicht besonders gut funktioniert. Oft wird auch etwas vergessen und schon ist die Sicherheit wieder dahin.
DrWeb_DownloadZaehler.php
Der DrWeb-Downloadzähler funktioniert nach einem anderen Prinzip als das unsichere Beispiel oben. Dem Zählscript werden keine Dateinamen übergeben, sondern nur Schlüssel, die in der Konfigurationsdatei auf konkrete Dateien abgebildet werden. Der Schlüssel „1“ steht beispielsweise für DATEI.ZIP, Schlüssel „6“ für eine andere Datei. Ganze Zahlen (Integer) haben den Vorteil, dass sie durch den (int)-Cast-Operator in PHP recht simpel von unerwünschten Zeichen befreit werden können – ganz ohne reguäre Ausdrücke. Die Zeichenkette „abc65def“ würde durch die Anweisung
$variable = (int)"abc65def";
Die Anzahl der Zugriffe wird in einer kleinen Datenbank-Tabelle gespeichert.
Aus fünf Teilen besteht der Downloadzähler:
- /DrWeb_DownloadZaehler.php
- /DrWeb_DownloadZaehler_Dateien.php
- /DrWeb_DownloadZaehler_Konfig.php
- /lib/YDFramework2
- /lib/schema.mysql
Die erste Datei ist das Zählscript. Es protokolliert einen Download und liefert die in der Konfiguration definierten Dateien aus. In der zweiten Datei DrWeb_DownloadZaehler_Dateien.php werden den Schlüsseln Dateinamen zugeordnet, wobei Ausgangspunkt das wwwroot, also das Hauptverzeichnis des Webservers ist. In der Datei DrWeb_DownloadZaehler_Konfig.php müssen die Datenbank-Zugangsdaten eingetragen werden.
Der letzte Teil ist das Yellow Duck-PHP-Framework, welches schon in einigen unserer Scripts zum Einsatz kommt. Es bietet zahlreiche Methoden und Funktionen an, die häufig gebraucht werden und ohne ein solches Framework immer wieder neu implementiert werden müssten.
Die Installation…
Schritt 1
Laden Sie sich das Archiv des DownloadZählers herunter, entpacken Sie es. Entscheiden Sie, welche Datenbank das Skript nutzen soll. Geben Sie die Zugangsdaten der Datenbank in der Datei DrWeb_DownloadZaehler_Konfig.php an.
Schritt 2
Laden Sie die Dateien auf den Webserver, dessen Downloads Sie zählen lassen möchten. Notieren Sie sich die Pfade zu den Dateien ab wwwroot, tragen Sie sie in die Datei DrWeb_DownloadZaehler_Dateien.php. Achten Sie darauf, dass jeder Eintrag, also jede Datei eineneindeutigen ganzzahligen Schlüssel bekommt. Erlaubt sind nur ganze Zahlen größer oder gleich 1. Angenommen, Sie wollen die Downloads der Dateien „/downloads/datei1.zip“ und „/downloads/opendocument.odt“ zählen lassen. Die Definition müsste dann so aussehen:
$dl_ids[1] = "/downloads/datei1.zip";
$dl_ids[2] = "/downloads/opendocument.odt";
Schritt 3
Kopieren Sie das entpackte Archiv mit den bearbeiteten Konfigurationsdateien auf den Webserver.
Schritt 4:
Rufen Sie phpMyAdmin auf und wählen Sie die in Schritt 1 ausgesuchte Datenbank. Klicken Sie auf den Menüpunkt „SQL“ und dann auf „Durchsuchen“. Wählen Sie die Datei „schema.mysql“ aus dem Archiv und bestätigen Sie den Dialog.
Benutzen
Das Skript ist nun einsatzbereit. Wenn Sie das Skript in das wwwroot Ihres Webservers www.test.de installiert haben, können Sie mit der URL „http://www.test.de/DrWeb_DownloadZaehler.php?d=1“ den ersten Download starten. Der Aufruf „http://webserver/DrWeb_DownloadZaehler.php?d=1&do=Count“ gibt nur eine Zahl aus, nämlich die Anzahl der Downloads der Datei mit dem Schlüssel 1.
Wenn Sie die Anzahl Downloads einer Datei in einem eigenen Skript weiterverarbeiten möchten, schauen Sie sich bitte das Beispiel in der Datei DrWeb_DownloadZaehler_Aufruf.php an. ™
Links:
- Download ZIP-Archiv (853 KB)
- Yellow Duck PHP-Framework
- Diesen Beitrag im Dr. Web Weblog diskutieren
Erstveröffentlichung 03.05.2006
7 Antworten zu „Sicherer Downloadcounter mit PHP“
— was ist Deine Meinung?
Hallo,
warum steht der Downloadzähler nicht mehr zum Download zur Verfügung?
Mit freundlichen Grüßen
André Rumann
Hallo!
Ich schreibe mir gerade ein kleines Script, das mir die Anzahl der Downloads anzeigen soll. Nun möchte ich aber gerne statt der dl_id den Dateinamen angezeigt bekommen. Das Einfügen einer entsprechenden Spalte (dl_datei) in der Tabelle dl_zaehler ist nicht das Problem; nur: wie bekomme ich den Dateinamen (aus der DrWeb_DownloadZaehler_Dateien.php beim Registrieren der neuen Download-ID in die Tabelle?
Danke, für die Hilfe!
dass man keine GET-Daten ungeprüft in den code einbauen darf, sollte sich mittlerweile ja herumgesprochen haben.
Deswegen aber 5000 libs einzubinden für so ein simples script, das ist dann wohl auch etwas übertrieben, oder nicht?
Der Aufruf „http://webserver/DrWeb_DownloadZaehler.php?d=1&do=Count“ gibt nur eine Zahl aus, nämlich die Anzahl der Downloads der Datei mit dem Schlüssel 1.
ganz nettes script!
aber wie kann ich mir anzeigen lassen wie oft eine datei geladen wurde?
möchte nicht jedes mal in datenbank rum suchen müssen.
direkt wohl nicht. aber man könnte ein ZIP draus machen. dann passt es.
Ist es möglich eine PDF-Datei nicht direkt im Browser anzeigen zu lassen, sondern über den „Speichern Unter“ – Dialogfenster herunterzuladen, oder öffnen?