[PHP]Przyjazne linki - jakie GET? Opcje

[fr33d0m]

Hello,

Załóżmy, że mamy taki link:
- http://www.portal.pl/ogloszenia/kategorie/owady,31
Czy można w jakiś sposób podejrzeć jakie kryją się pod tym "przyjaznym linkiem" zmienne przekazywane w GET ?
Słyszałem, że Firefox z jakąś wtyczką (firebug?) jest bardzo zdolny, ale nie wiem czy to potrafi(?). Osobiście jestem zżyty bardzo z Operą. A może można w inny sposób podejrzeć co się kryje pod w/w linkiem?

[sadistic_son]

To jest zależne od .htaccess, bez wglądu w ten plik nie dowiesz sie co sie kryje pod przyjaznym linkiem.
Ale glowy nie daje.

[fr33d0m]

a do .htaccess dostępu nie mam, tak? :C


edit: no nie mam dostępu... Kurde...

Jeśli ktoś zna sposób aby podejrzeć GET'y to niech się wypowie



Ten post edytował fr33d0m 13.02.2011, 05:16:56

[--bombelek--]

print_r($_GET)

try tak

[fr33d0m]

sęk w tym, że nie mam dostępu do kodu PHP - ew. html i java

[lobopol]

Nie masz takiej opcji.

[Tomplus]

Lepiej poszukaj na Google o Przyjaznych linkach, to szybciej znajdziesz te GETy

[fr33d0m]

@Tomplus, a mógłbyś się krótko rozpisać co dokładnie masz na myśli?

[Tomplus]

chciałeś dowiedzieć się jakie zmienne kryją się pod Przyjaznymi linkami ?
To ja napisałem abyś poszukał sobie informacji na temat .htaccess i Przyjazne Linki, znajdziesz wiele takich manuali i zobaczysz w jaki sposób takie strony działają, skąd się biorą tak wyglądające zmienne jak na podanym przykładzie.

[fr33d0m]

Czyli jednym słowem piszesz mi, żebym strzelał z nazwą GET'ów
Łudziłem się, że coś więcej kryje się za Twoją wypowiedzią.

Szkoda, że nie ma prostszego patentu na podejrzenie GET'ów. Dzięki Panowie za odpowiedz.

[nekomata]

Aktualnie chyba zle zrozumiałeś o co z tym chodzi , mianowicie
- http://www.portal.pl/ogloszenia/kategorie/owady,31
w tym przypadku użyty jest "mod rewrite" INFO albo tu.
Czyli wyglada to tak ze używając takiego mądrego mod rewrite możesz ominąć nazwy GET w linku np. "www.strona-janka.com/index.php?kategoria=filmy&podkategoria=xxx" zamieniłbyś sobie na "www.strona-janka.com/filmy/xxx" nazwy GET są pomijane ale kolejność jest ważna.

Ten post edytował nekomata 13.02.2011, 19:46:25

[fr33d0m]

Nekomata, te info jest całkiem zabawne
Wiem, na czym polega mod rewrite i wiem, że można to zaprojektować na kilka innych modeli wyświetlania linka.
Problem w tym, że próbowałem już odgadywać GET'y i opornie idzie bo nazwy nie są standardowe jak na większości portalach. Nawet zajrzałem w źródło kodu aby obczaić jak są nazwane inputy i przykładowo dla hasła jest nazwa "qgeF" - więc jak sam widzisz nazwy wzięte z kosmosu też zapewne będą przy GET'ach.

A tak z innej beczki, za pomocą jakiego kodu ze strony A mogę zastąpić stronę B ? jest to wykonalne jeśli chmod nie daje prawa do zapisu? można to jakoś obejść?

[sadistic_son]

A tak z innej beczki, za pomocą jakiego kodu ze strony A mogę zastąpić stronę B ? jest to wykonalne jeśli chmod nie daje prawa do zapisu? można to jakoś obejść?

Coś mi tu śmierdzi próbą ingerencji w nie swoją witrynę.... jak i z resztą cały ten temat.

[nekomata]

Nawet jeśli masz racje to i tak jakoś dziwnie on kombinuje.. bo po co właściwie mu nazwy get?Przecież to co wstawi w linku idzie bezpośrednio do get'a , to jest tak samo jakby chciał poznać nazwy zmiennych .. i tak nic z tym nie zrobi.

[fr33d0m]

Tak, tylko problem polega na tym, że znam nie wielkie podstawy a chcę podmieć index.php, który posiada kilka getów i zapewne też nie są filtrowane. Bezpośrednio z index.php nie mam możliwości zaintegrowania poprzez formularze(bo ich nie ma), ani w GETy bo śmigają pod mod rewrite. Natomiast z innej strony mogę wykonać każdy kod html, java - i co dziwne jesli w formularz wpiszę kod PHP, to będzie on widniał w źródle dokładnie w takiej formie w jakiej wpisałem w formularzu - co jest trochę dziwne bo teoretycznie serwer/przeglądarka(?) nie powinien pokazywać w źródle kodu PHP a pokazuje łącznie z tagami <?php ktoś może wytłumaczyć, dlaczego tak się dzieje? Czy temat zamkniecie, usuniecie, mnie zbanujecie i zgłosicie na policje? ;(

Ten post edytował fr33d0m 14.02.2011, 23:24:04

[TheSnake]

Ja bym Cię tylko zbanował. Jesteś "zuy". http://php.net/manual/en/function.htmlspecialchars.php

[fr33d0m]

@TheSnake, ale banowanie mija się z celem. Strona jest stara i nie użytkowana a ja natknąłem się przypadkiem i chcę się sam przekonać na czym polega atak w celu lepszej ochrony mojego projektu. Funkcję htmlspecialchars znam, nie wiem dlaczego dałeś mi linka do manualna? ta funkcja zamienia znaki na ich odpowiedniki a jeśli wkleje kod PHP np. taki:

[PHP] pobierz, plaintext 
<?php echo show_source(__FILE__); ?>
[PHP] pobierz, plaintext 

To, po przetworzeniu, w źródle strony widać dosłownie to samo... a przecież kod PHP nie powinien być widoczny, może ktoś mi to wyjaśnić?

Ten post edytował fr33d0m 15.02.2011, 21:53:22

[nekomata]

bo text jest po prostu wyechowany

zobacz sobie sam na przykladzie

[PHP] pobierz, plaintext 
<?php 
echo "php to jest wywołanie echo'a";
echo 'echo "to nie jest wywołanie echo\'a to jest wyświetlenie napisu echo wraz z tym textem"
?>
[PHP] pobierz, plaintext 

Jedyne do czego mozesz ingerowac to SQL, do php tak łatwo przez input'a nie dojdziesz, php to nie html.
A jak chcesz sobie testować hackowanie to sobie testuj na WŁASNYCH stronach a nie na owocu cudzej pracy.

Ten post edytował nekomata 15.02.2011, 23:24:27

[Prezi2907]

sęk w tym, że nie mam dostępu do kodu PHP - ew. html i java

A co ty planujesz w ogóle ? Po diabła Ci info o czyimś kodzie ? Strona jest zrobiona tak by nikt nie miał dostępu do info anie abyś mógł się łączyć jak chcesz

@TheSnake, ale banowanie mija się z celem. Strona jest stara i nie użytkowana a ja natknąłem się przypadkiem i chcę się sam przekonać na czym polega atak w celu lepszej ochrony mojego projektu. Funkcję htmlspecialchars znam, nie wiem dlaczego dałeś mi linka do manualna? ta funkcja zamienia znaki na ich odpowiedniki a jeśli wkleje kod PHP np. taki:

[PHP] pobierz, plaintext 
<?php echo show_source(__FILE__); ?>
[PHP] pobierz, plaintext 

To, po przetworzeniu, w źródle strony widać dosłownie to samo... a przecież kod PHP nie powinien być widoczny, może ktoś mi to wyjaśnić?

Dal ochrony swoich projektów poczytaj o SQLInjections itp... A nie wyciągasz jakies info od innych...

Nikt Ci tu nie napisze jak dobrać się do httaces a tym bardziej do skryptów na czyichś stronach... BAN za takie tematy...