Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP]Przyjazne linki - jakie GET?
Forum PHP.pl > Forum > Przedszkole
fr33d0m
Hello,

Załóżmy, że mamy taki link:
- http://www.portal.pl/ogloszenia/kategorie/owady,31
Czy można w jakiś sposób podejrzeć jakie kryją się pod tym "przyjaznym linkiem" zmienne przekazywane w GET ?
Słyszałem, że Firefox z jakąś wtyczką (firebug?) jest bardzo zdolny, ale nie wiem czy to potrafi(?). Osobiście jestem zżyty bardzo z Operą. A może można w inny sposób podejrzeć co się kryje pod w/w linkiem?
sadistic_son
To jest zależne od .htaccess, bez wglądu w ten plik nie dowiesz sie co sie kryje pod przyjaznym linkiem.
Ale glowy nie daje.
fr33d0m
a do .htaccess dostępu nie mam, tak? :C


edit: no nie mam dostępu... Kurde...

Jeśli ktoś zna sposób aby podejrzeć GET'y to niech się wypowie smile.gif

-bombelek-
print_r($_GET)

try tak
fr33d0m
sęk w tym, że nie mam dostępu do kodu PHP - ew. html i java
lobopol
Nie masz takiej opcji.
Tomplus
Lepiej poszukaj na Google o Przyjaznych linkach, to szybciej znajdziesz te GETy tongue.gif
fr33d0m
@Tomplus, a mógłbyś się krótko rozpisać co dokładnie masz na myśli? wink.gif
Tomplus
chciałeś dowiedzieć się jakie zmienne kryją się pod Przyjaznymi linkami ?
To ja napisałem abyś poszukał sobie informacji na temat .htaccess i Przyjazne Linki, znajdziesz wiele takich manuali i zobaczysz w jaki sposób takie strony działają, skąd się biorą tak wyglądające zmienne jak na podanym przykładzie.
fr33d0m
Czyli jednym słowem piszesz mi, żebym strzelał z nazwą GET'ów tiredsmiley.gif
Łudziłem się, że coś więcej kryje się za Twoją wypowiedzią.

Szkoda, że nie ma prostszego patentu na podejrzenie GET'ów. Dzięki Panowie za odpowiedz.
nekomata
Aktualnie chyba zle zrozumiałeś o co z tym chodzi , mianowicie
- http://www.portal.pl/ogloszenia/kategorie/owady,31
w tym przypadku użyty jest "mod rewrite" INFO albo tu.
Czyli wyglada to tak ze używając takiego mądrego mod rewrite możesz ominąć nazwy GET w linku np. "www.strona-janka.com/index.php?kategoria=filmy&podkategoria=xxx" zamieniłbyś sobie na "www.strona-janka.com/filmy/xxx" nazwy GET są pomijane ale kolejność jest ważna.
fr33d0m
Nekomata, te info jest całkiem zabawne smile.gif
Wiem, na czym polega mod rewrite i wiem, że można to zaprojektować na kilka innych modeli wyświetlania linka.
Problem w tym, że próbowałem już odgadywać GET'y i opornie idzie bo nazwy nie są standardowe jak na większości portalach. Nawet zajrzałem w źródło kodu aby obczaić jak są nazwane inputy i przykładowo dla hasła jest nazwa "qgeF" - więc jak sam widzisz nazwy wzięte z kosmosu też zapewne będą przy GET'ach.

A tak z innej beczki, za pomocą jakiego kodu ze strony A mogę zastąpić stronę B ? jest to wykonalne jeśli chmod nie daje prawa do zapisu? można to jakoś obejść?
sadistic_son
Cytat(fr33d0m @ 13.02.2011, 22:57:10 ) *
A tak z innej beczki, za pomocą jakiego kodu ze strony A mogę zastąpić stronę B ? jest to wykonalne jeśli chmod nie daje prawa do zapisu? można to jakoś obejść?
Coś mi tu śmierdzi próbą ingerencji w nie swoją witrynę.... jak i z resztą cały ten temat.
nekomata
Nawet jeśli masz racje to i tak jakoś dziwnie on kombinuje.. bo po co właściwie mu nazwy get?Przecież to co wstawi w linku idzie bezpośrednio do get'a , to jest tak samo jakby chciał poznać nazwy zmiennych .. i tak nic z tym nie zrobi.
fr33d0m
Tak, tylko problem polega na tym, że znam nie wielkie podstawy a chcę podmieć index.php, który posiada kilka getów i zapewne też nie są filtrowane. Bezpośrednio z index.php nie mam możliwości zaintegrowania poprzez formularze(bo ich nie ma), ani w GETy bo śmigają pod mod rewrite. Natomiast z innej strony mogę wykonać każdy kod html, java - i co dziwne jesli w formularz wpiszę kod PHP, to będzie on widniał w źródle dokładnie w takiej formie w jakiej wpisałem w formularzu - co jest trochę dziwne bo teoretycznie serwer/przeglądarka(?) nie powinien pokazywać w źródle kodu PHP a pokazuje łącznie z tagami <?php ktoś może wytłumaczyć, dlaczego tak się dzieje? Czy temat zamkniecie, usuniecie, mnie zbanujecie i zgłosicie na policje? ;(
TheSnake
Ja bym Cię tylko zbanował. Jesteś "zuy". http://php.net/manual/en/function.htmlspecialchars.php
fr33d0m
@TheSnake, ale banowanie mija się z celem. Strona jest stara i nie użytkowana a ja natknąłem się przypadkiem i chcę się sam przekonać na czym polega atak w celu lepszej ochrony mojego projektu. Funkcję htmlspecialchars znam, nie wiem dlaczego dałeś mi linka do manualna? ta funkcja zamienia znaki na ich odpowiedniki a jeśli wkleje kod PHP np. taki:
  1. <?php echo show_source(__FILE__); ?>

To, po przetworzeniu, w źródle strony widać dosłownie to samo... a przecież kod PHP nie powinien być widoczny, może ktoś mi to wyjaśnić?
nekomata
bo text jest po prostu wyechowany

zobacz sobie sam na przykladzie
  1. <?php
  2. echo "php to jest wywołanie echo'a";
  3. echo 'echo "to nie jest wywołanie echo\'a to jest wyświetlenie napisu echo wraz z tym textem"
  4. ?>

Jedyne do czego mozesz ingerowac to SQL, do php tak łatwo przez input'a nie dojdziesz, php to nie html.
A jak chcesz sobie testować hackowanie to sobie testuj na WŁASNYCH stronach a nie na owocu cudzej pracy.
Prezi2907
Cytat(fr33d0m @ 13.02.2011, 14:24:05 ) *
sęk w tym, że nie mam dostępu do kodu PHP - ew. html i java

A co ty planujesz w ogóle ? Po diabła Ci info o czyimś kodzie ? Strona jest zrobiona tak by nikt nie miał dostępu do info anie abyś mógł się łączyć jak chcesz smile.gif

Cytat(fr33d0m @ 15.02.2011, 21:51:03 ) *
@TheSnake, ale banowanie mija się z celem. Strona jest stara i nie użytkowana a ja natknąłem się przypadkiem i chcę się sam przekonać na czym polega atak w celu lepszej ochrony mojego projektu. Funkcję htmlspecialchars znam, nie wiem dlaczego dałeś mi linka do manualna? ta funkcja zamienia znaki na ich odpowiedniki a jeśli wkleje kod PHP np. taki:
  1. <?php echo show_source(__FILE__); ?>

To, po przetworzeniu, w źródle strony widać dosłownie to samo... a przecież kod PHP nie powinien być widoczny, może ktoś mi to wyjaśnić?

Dal ochrony swoich projektów poczytaj o SQLInjections itp... A nie wyciągasz jakies info od innych...

Nikt Ci tu nie napisze jak dobrać się do httaces a tym bardziej do skryptów na czyichś stronach... BAN za takie tematy...
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.