 Zabezpieczenie |
  |
| Zabezpieczenie |
 21.02.2009, 22:06:15
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 217 Pomógł: 2 Dołączył: 23.12.2008 Ostrzeżenie: (0%) 
 |
Witam,
Co oprocz podejrzenia niechcianych plikow moze mi zrobic hacker jest posiadam cos takiego w skrypcie include 'inlcudes/'.$_GET['file'].'.php'; |
 |
 
|
|
21.02.2009, 22:20:20
Post
#2
|
|
 Grupa: Zarejestrowani Postów: 1 873 Pomógł: 152 Dołączył: 9.04.2006 Skąd: Berlin Ostrzeżenie: (0%)
|
dzięki czemuś takiemu może zrobić wszystko
-------------------- |
|
|
|
|
21.02.2009, 22:31:50
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 217 Pomógł: 2 Dołączył: 23.12.2008 Ostrzeżenie: (0%)
|
podaj przyklady co moze zrobic
|
|
|
|
|
21.02.2009, 23:06:45
Post
#4
|
|
 Newsman Grupa: Moderatorzy Postów: 2 033 Pomógł: 290 Dołączył: 21.12.2007 Skąd: Łódź |
przykład 1: LFI (Local File Include)
przykład 2: RFI (Remote File Include) Ad. 1. Jesli serwer www działa np. z uprawnieniami root-a, napastnik podając odpwiednio spreparowaną ścieżkę (../../../../etc/passwd) może odczytać w/w plik, co w systemach unix-owych = owned. Jest to atak znany jako "directory traversal". Mozna go wykorzystać jedynie w przypadku błędów konfiguracji serwera www, ale zdażają się takie kwiatki. W zasadzie mozliwość odczytania dowolnego pliku. Zasada działania prosta: w miejscu wystąpienia instrukcji include pojawia sie treść danego pliku. Ad 2. Mozliwość dołączenia skryptu z serwera innego, niż ten, na którym strona się znajduje. Tylko wyobraźnia ogranicza napastnika przed możliwościami wykorzystania. Błąd występuje w przypadku nieprawidłowej konfiguracji serwera www. Reasumując: LFI+RFI = @bim2(dzięki czemuś takiemu może zrobić wszystko) C.N.D (co należało dowieźć) -------------------- Life's simple... You make choices and don't look back...
|
|
|
|
|
|
Wersja Lo-Fi | Aktualny czas: 22.06.2025 - 10:30 |
