Zpět na seznam článků     Zpět na článek

Komentáře ke článku

 
 
 BBCode
elol | 77.48.233.*16.4.2016 18:35
No v dnešní době kdo napíše něco jako:

if(file_exists("ingame/" . @$_GET['p'] . ".php") && @$_GET['p'] != 'index') {
include "zlozka/" . @$_GET['p'] . ".php";
} else {
include "zlozka/test.php";
}

a nebo

<?php
include($_GET['page']);

By se měl na programování vyprdnout a raději se dát například na zemědělství, kde by určitě udělal díru do světa.
.cCuMiNn. | E-mail | Website | PGP12.3.2016 12:41
Niekto: Ano, je to možné. Není sice možné RFI, ale LFI naprosto bez problému, minimálně co se týká .php souborů.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
Niekto | 95.105.210.*12.3.2016 2:19
Zaujímalo by ma, či je možné v PHP zneužiť tento zápis:
if(file_exists("ingame/" . @$_GET['p'] . ".php") && @$_GET['p'] != 'index') {
include "zlozka/" . @$_GET['p'] . ".php";
} else {
include "zlozka/test.php";
}


Vďaka!
.cCuMiNn. | E-mail | Website | PGP25.2.2016 21:19
1) Ve zdrojáku bys to našel pouze v případě, že bys měl k dispozici opravdu zdrojové kódy PHP. Pokud si zobrazíš HTML kód stránky, tak tam to nenajdeš.

2) URL adresu při RFI je možné najít v logách serveru. GET požadavky jsou běžně logovány včetně parametrů.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
extio | E-mail25.2.2016 18:53
Veľmi skvelí článok
Len by ma zaujímali niektoré veci

<?php
include($_GET['page']);
....

Ten kod ako nájdem len tak niekde v zdrojovom kóde stránky? Alebo ako to funguje?
A ak sa použije RFI je možné vypatrať tu cieľovú adresu ktorá bola zadaná do URL?

Stránky: 1