Komentáře ke článku
| dobre, ale prakticky nepouzitelne | 85.248.2.* | 21.4.2007 6:33 |
| | vecsina serverov uz pouziva rewrite engine, a nieco ako includovanie suborov je uz davno takmer nepouzitelna vec |
|
| | vetsina serveru je proti tomuhle ochranena, je tam nastaveni ktery zakazuje prochazeni vejs nez na root tvyho webu. uvazuj. pak bys moh pres php manazer souboru cist data jinejch lidi. ostatne takhle sme kdysi davno hackli xhosting.cz... |
|
| Mozna mi neco unika, ale pisatel clanku pise:
Pritom by stacilo zamenit require($promena.".php"); za require("./".$promena.".php");
a co kdyby utocnik mel ucet na tom samem serveru a napsal neco jako ?promena='../../../mojestranky/mujskript'
to by pak bylo cely require('./../../../mojestranky/mujskript.php') a moc by to nepomohlo ne?
|
|
| | hledej smudlo :) google je tvuj kamarad |
|
| | jen mám dotaz nedaly byste my nekdo ten script na vylistovaní souboru na serveru hodilo by se mi to |
|
| | nojo kamo koukam - trochu sem jim odepsal... prej neni riziko... kdyz uz je lousklejch skoro 33 tacu hesel... |
|
mzk |  |  | 8.5.2006 18:06 |
| na diskuzi blueboard.cz je o tomto zmínka. Jen tak mimochodem.
----------
nehádej se, nemá to cenu |
|
| K MD5 - na netu najdes plno databazi, kde muzes z md5 ziskat puvodni text, jednou z nejlepsich free je plain-text.info, bohuzel k tomu, aby se ti podarilo pridat tvuj hash do databaze, to chce notnou davku stesti a trpelivosti. Ale je jich mnohem vic, staci se zeptat strycka googla ;)
A k PHP injection - nedavno jsem parametrovanim googlu zkousel taky vyhledat stranky, ktere pouzivaji include pro vkladani souboru. Vysledek po nekolika hodinach byl seznam nekolika desitek ceskych stranek (na ty jsem se zameril, zahranicni necham na jindy). U vsech jsem si nechal vylistovat seznam souboru a hlavni stranku, u nekterych dokonce bezela databaze. Takze tu mam dost zabavy na destive dny ;) Ale nevim, jestli se tomu vsemu smat, nebo spis brecet... |
|
| | imho je to omezeny databazi bugu kterou mas. ja sazim na chybu administratora, nikoliv serveru. 0*0 - proste nekdo kdo ma otevrenou proxy... ma doma vic pc a na tom jednom bezi proxy... a nema to zakazany ve firewallu |
|
| | curly boi: niekedy môzu byt aj bug scannery uzitocne.Napr. na nejakom vacsom servery,kde je chyba pekne schovana...Viz www.hattrick.org :D |
|
|
