Witam,
Co oprocz podejrzenia niechcianych plikow moze mi zrobic hacker jest posiadam cos takiego w skrypcie
include 'inlcudes/'.$_GET['file'].'.php';
Pełna wersja: Zabezpieczenie
dzięki czemuś takiemu może zrobić wszystko 
podaj przyklady co moze zrobic
przykład 1: LFI (Local File Include)
przykład 2: RFI (Remote File Include)
Ad. 1. Jesli serwer www działa np. z uprawnieniami root-a, napastnik podając odpwiednio spreparowaną ścieżkę (../../../../etc/passwd)
może odczytać w/w plik, co w systemach unix-owych = owned. Jest to atak znany jako "directory traversal". Mozna go wykorzystać jedynie w przypadku błędów konfiguracji serwera www, ale zdażają się takie kwiatki.
W zasadzie mozliwość odczytania dowolnego pliku.
Zasada działania prosta: w miejscu wystąpienia instrukcji include pojawia sie treść danego pliku.
Ad 2. Mozliwość dołączenia skryptu z serwera innego, niż ten, na którym strona się znajduje. Tylko wyobraźnia ogranicza napastnika przed możliwościami wykorzystania. Błąd występuje w przypadku nieprawidłowej konfiguracji serwera www.
Reasumując: LFI+RFI = @bim2(dzięki czemuś takiemu może zrobić wszystko)
C.N.D (co należało dowieźć)
przykład 2: RFI (Remote File Include)
Ad. 1. Jesli serwer www działa np. z uprawnieniami root-a, napastnik podając odpwiednio spreparowaną ścieżkę (../../../../etc/passwd)
może odczytać w/w plik, co w systemach unix-owych = owned. Jest to atak znany jako "directory traversal". Mozna go wykorzystać jedynie w przypadku błędów konfiguracji serwera www, ale zdażają się takie kwiatki.
W zasadzie mozliwość odczytania dowolnego pliku.
Zasada działania prosta: w miejscu wystąpienia instrukcji include pojawia sie treść danego pliku.
Ad 2. Mozliwość dołączenia skryptu z serwera innego, niż ten, na którym strona się znajduje. Tylko wyobraźnia ogranicza napastnika przed możliwościami wykorzystania. Błąd występuje w przypadku nieprawidłowej konfiguracji serwera www.
Reasumując: LFI+RFI = @bim2(dzięki czemuś takiemu może zrobić wszystko)
C.N.D (co należało dowieźć)
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.