 [php][bezpieczeństwo] Czy można wywoływać zdalne skrypty za pomocą echo ? |
| [php][bezpieczeństwo] Czy można wywoływać zdalne skrypty za pomocą echo ? |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 22 Pomógł: 0 Dołączył: 26.10.2006 Ostrzeżenie: (0%) 
 |
Tak jak w temacie:
Czy można jakoś za pomocą "echo" wywoływać jakieś skrypty z innych serwerów ? Konkretnie: register_globals jest włączone na serwerze i np. wywołuje taki link: http://www.domena.pl/index.php?tytuł=bardzo_fajny_tytuł a w kodzie gdzieś tam mam:
to czy jakiś sprytny gość wstawiając coś w adresie za tytul= może coś mi złego zrobić i wywołać jakiś skrypt ? wyłączenie register globals nie wchodzi w gre, chyba, że da sie to zrobić dla pojedynczego użytkownika (użytkowników korzystających z serwera firmy hostingowej jest uuuu i jeszcze ciut ciut ), ale pewnie nie bo php.ini jedno tylko na serwerze.. |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 70 Pomógł: 0 Dołączył: 29.03.2007 Ostrzeżenie: (0%)
|
Cytat(lsmith @ 16.04.2007, 13:51:52 )  Tak jak w temacie: Czy można jakoś za pomocą "echo" wywoływać jakieś skrypty z innych serwerów ? ... to czy jakiś sprytny gość wstawiając coś w adresie za tytul= może coś mi złego zrobić i wywołać jakiś skrypt ? Może wywołać skrypt na innym serwerze ale on się wykona na tym innym serwerze więc to będzie się miało raczej nijak do namieszania u Pana. podstawiając za tytuł... hmm, nie widzę specjalnie zagrożeń, o ile Pan to zrobi z głową. Teoretycznie przykładowo co może zrobić to wstawić taki skrypt JS który rozwali walidacje JS'ową w formularzu albo samopoklika na stronie albo mu popsuje wygląd, no ale po co ktoś miałby sobie świadomie psuć wygląd (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) No i to będzie sie miało znowu nijak do namieszania na serwerze. Zawsze można srobić strip_tags($_GET['tytul']). Cytat(nospor @ 16.04.2007, 14:59:56 ) Przejęzyczenie? faktycznie, miało być po stronie przeglądarki oczywiście (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Cytat(akubiczek @ 16.04.2007, 15:01:34 ) Dziwi mnie taka opinia człowieka, który na swojej stronie napisał: "Stawiamy sobie za punkt honoru, dbałość o wysoką jakość naszych aplikacji." (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) Owszem, w typowych sytuacjach jest to mało groźne, ale właśnie takie mało groźne niedopatrzenia są wykorzystywane do groźnych ataków. Fraza na dziś: Cross-site scripting. Zgadzam się i widzę zagrożenie, jednak tj napisałem jest to dziura nie dziura gdyż to samo mogę zrobić bez użycia parametrów, czyli że jak Ismitch wywali echo $title to i tak sobie uruchomie swój JS jak będzie mi na tym mocno zależało. Uruchamianie JS leży w gestii przeglądarki a więc wystarczy pomotać w przeglądarce. I Jak Pan by nie zabezpieczał skryptu to i tak uruchomię JS. |
|
|
|
lsmith [php][bezpieczeństwo] Czy można wywoływać zdalne skrypty za pomocą echo ? 16.04.2007, 12:51:52 
akubiczek Może wywołać dowolny kod javascript... 16.04.2007, 13:46:32 Zeman Cytat(akubiczek @ 16.04.2007, 14:46:3... 16.04.2007, 13:55:07 nospor CytatTo co Pan namiesza poprzez swój parametr tytu... 16.04.2007, 13:59:56 akubiczek Dziwi mnie taka opinia człowieka, który na swojej ... 16.04.2007, 14:01:34 akubiczek Nie ma zgody z mojej strony na ignorowanie zagroże... 16.04.2007, 14:09:08 
Zeman Ok Panowie, przyznaje się do błędu, nie ma co kusi... 16.04.2007, 14:24:09  |
|
Aktualny czas: 6.10.2025 - 17:10 |
