Hello,
Załóżmy, że mamy taki link:
- http://www.portal.pl/ogloszenia/kategorie/owady,31
Czy można w jakiś sposób podejrzeć jakie kryją się pod tym "przyjaznym linkiem" zmienne przekazywane w GET ?
Słyszałem, że Firefox z jakąś wtyczką (firebug?) jest bardzo zdolny, ale nie wiem czy to potrafi(?). Osobiście jestem zżyty bardzo z Operą. A może można w inny sposób podejrzeć co się kryje pod w/w linkiem?
Pełna wersja: [PHP]Przyjazne linki - jakie GET?
To jest zależne od .htaccess, bez wglądu w ten plik nie dowiesz sie co sie kryje pod przyjaznym linkiem.
Ale glowy nie daje.
Ale glowy nie daje.
a do .htaccess dostępu nie mam, tak? :C
edit: no nie mam dostępu... Kurde...
Jeśli ktoś zna sposób aby podejrzeć GET'y to niech się wypowie
edit: no nie mam dostępu... Kurde...
Jeśli ktoś zna sposób aby podejrzeć GET'y to niech się wypowie
print_r($_GET)
try tak
try tak
sęk w tym, że nie mam dostępu do kodu PHP - ew. html i java
Nie masz takiej opcji.
Lepiej poszukaj na Google o Przyjaznych linkach, to szybciej znajdziesz te GETy 
@Tomplus, a mógłbyś się krótko rozpisać co dokładnie masz na myśli? 
chciałeś dowiedzieć się jakie zmienne kryją się pod Przyjaznymi linkami ?
To ja napisałem abyś poszukał sobie informacji na temat .htaccess i Przyjazne Linki, znajdziesz wiele takich manuali i zobaczysz w jaki sposób takie strony działają, skąd się biorą tak wyglądające zmienne jak na podanym przykładzie.
To ja napisałem abyś poszukał sobie informacji na temat .htaccess i Przyjazne Linki, znajdziesz wiele takich manuali i zobaczysz w jaki sposób takie strony działają, skąd się biorą tak wyglądające zmienne jak na podanym przykładzie.
Czyli jednym słowem piszesz mi, żebym strzelał z nazwą GET'ów 
Łudziłem się, że coś więcej kryje się za Twoją wypowiedzią.
Szkoda, że nie ma prostszego patentu na podejrzenie GET'ów. Dzięki Panowie za odpowiedz.
Łudziłem się, że coś więcej kryje się za Twoją wypowiedzią.
Szkoda, że nie ma prostszego patentu na podejrzenie GET'ów. Dzięki Panowie za odpowiedz.
Aktualnie chyba zle zrozumiałeś o co z tym chodzi , mianowicie
- http://www.portal.pl/ogloszenia/kategorie/owady,31
w tym przypadku użyty jest "mod rewrite" INFO albo tu.
Czyli wyglada to tak ze używając takiego mądrego mod rewrite możesz ominąć nazwy GET w linku np. "www.strona-janka.com/index.php?kategoria=filmy&podkategoria=xxx" zamieniłbyś sobie na "www.strona-janka.com/filmy/xxx" nazwy GET są pomijane ale kolejność jest ważna.
- http://www.portal.pl/ogloszenia/kategorie/owady,31
w tym przypadku użyty jest "mod rewrite" INFO albo tu.
Czyli wyglada to tak ze używając takiego mądrego mod rewrite możesz ominąć nazwy GET w linku np. "www.strona-janka.com/index.php?kategoria=filmy&podkategoria=xxx" zamieniłbyś sobie na "www.strona-janka.com/filmy/xxx" nazwy GET są pomijane ale kolejność jest ważna.
Nekomata, te info jest całkiem zabawne
Wiem, na czym polega mod rewrite i wiem, że można to zaprojektować na kilka innych modeli wyświetlania linka.
Problem w tym, że próbowałem już odgadywać GET'y i opornie idzie bo nazwy nie są standardowe jak na większości portalach. Nawet zajrzałem w źródło kodu aby obczaić jak są nazwane inputy i przykładowo dla hasła jest nazwa "qgeF" - więc jak sam widzisz nazwy wzięte z kosmosu też zapewne będą przy GET'ach.
A tak z innej beczki, za pomocą jakiego kodu ze strony A mogę zastąpić stronę B ? jest to wykonalne jeśli chmod nie daje prawa do zapisu? można to jakoś obejść?
Wiem, na czym polega mod rewrite i wiem, że można to zaprojektować na kilka innych modeli wyświetlania linka.
Problem w tym, że próbowałem już odgadywać GET'y i opornie idzie bo nazwy nie są standardowe jak na większości portalach. Nawet zajrzałem w źródło kodu aby obczaić jak są nazwane inputy i przykładowo dla hasła jest nazwa "qgeF" - więc jak sam widzisz nazwy wzięte z kosmosu też zapewne będą przy GET'ach.
A tak z innej beczki, za pomocą jakiego kodu ze strony A mogę zastąpić stronę B ? jest to wykonalne jeśli chmod nie daje prawa do zapisu? można to jakoś obejść?
Cytat(fr33d0m @ 13.02.2011, 22:57:10 ) 
A tak z innej beczki, za pomocą jakiego kodu ze strony A mogę zastąpić stronę B ? jest to wykonalne jeśli chmod nie daje prawa do zapisu? można to jakoś obejść?
Coś mi tu śmierdzi próbą ingerencji w nie swoją witrynę.... jak i z resztą cały ten temat.
Nawet jeśli masz racje to i tak jakoś dziwnie on kombinuje.. bo po co właściwie mu nazwy get?Przecież to co wstawi w linku idzie bezpośrednio do get'a , to jest tak samo jakby chciał poznać nazwy zmiennych .. i tak nic z tym nie zrobi.
Tak, tylko problem polega na tym, że znam nie wielkie podstawy a chcę podmieć index.php, który posiada kilka getów i zapewne też nie są filtrowane. Bezpośrednio z index.php nie mam możliwości zaintegrowania poprzez formularze(bo ich nie ma), ani w GETy bo śmigają pod mod rewrite. Natomiast z innej strony mogę wykonać każdy kod html, java - i co dziwne jesli w formularz wpiszę kod PHP, to będzie on widniał w źródle dokładnie w takiej formie w jakiej wpisałem w formularzu - co jest trochę dziwne bo teoretycznie serwer/przeglądarka(?) nie powinien pokazywać w źródle kodu PHP a pokazuje łącznie z tagami <?php ktoś może wytłumaczyć, dlaczego tak się dzieje? Czy temat zamkniecie, usuniecie, mnie zbanujecie i zgłosicie na policje? ;(
Ja bym Cię tylko zbanował. Jesteś "zuy". http://php.net/manual/en/function.htmlspecialchars.php
@TheSnake, ale banowanie mija się z celem. Strona jest stara i nie użytkowana a ja natknąłem się przypadkiem i chcę się sam przekonać na czym polega atak w celu lepszej ochrony mojego projektu. Funkcję htmlspecialchars znam, nie wiem dlaczego dałeś mi linka do manualna? ta funkcja zamienia znaki na ich odpowiedniki a jeśli wkleje kod PHP np. taki:
To, po przetworzeniu, w źródle strony widać dosłownie to samo... a przecież kod PHP nie powinien być widoczny, może ktoś mi to wyjaśnić?
To, po przetworzeniu, w źródle strony widać dosłownie to samo... a przecież kod PHP nie powinien być widoczny, może ktoś mi to wyjaśnić?
bo text jest po prostu wyechowany
zobacz sobie sam na przykladzie
Jedyne do czego mozesz ingerowac to SQL, do php tak łatwo przez input'a nie dojdziesz, php to nie html.
A jak chcesz sobie testować hackowanie to sobie testuj na WŁASNYCH stronach a nie na owocu cudzej pracy.
zobacz sobie sam na przykladzie
Jedyne do czego mozesz ingerowac to SQL, do php tak łatwo przez input'a nie dojdziesz, php to nie html.
A jak chcesz sobie testować hackowanie to sobie testuj na WŁASNYCH stronach a nie na owocu cudzej pracy.
Cytat(fr33d0m @ 13.02.2011, 14:24:05 )
sęk w tym, że nie mam dostępu do kodu PHP - ew. html i java
A co ty planujesz w ogóle ? Po diabła Ci info o czyimś kodzie ? Strona jest zrobiona tak by nikt nie miał dostępu do info anie abyś mógł się łączyć jak chcesz
Cytat(fr33d0m @ 15.02.2011, 21:51:03 )
@TheSnake, ale banowanie mija się z celem. Strona jest stara i nie użytkowana a ja natknąłem się przypadkiem i chcę się sam przekonać na czym polega atak w celu lepszej ochrony mojego projektu. Funkcję htmlspecialchars znam, nie wiem dlaczego dałeś mi linka do manualna? ta funkcja zamienia znaki na ich odpowiedniki a jeśli wkleje kod PHP np. taki:
To, po przetworzeniu, w źródle strony widać dosłownie to samo... a przecież kod PHP nie powinien być widoczny, może ktoś mi to wyjaśnić?
To, po przetworzeniu, w źródle strony widać dosłownie to samo... a przecież kod PHP nie powinien być widoczny, może ktoś mi to wyjaśnić?
Dal ochrony swoich projektów poczytaj o SQLInjections itp... A nie wyciągasz jakies info od innych...
Nikt Ci tu nie napisze jak dobrać się do httaces a tym bardziej do skryptów na czyichś stronach... BAN za takie tematy...
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.