Niekto: Ano, je to možné. Není sice možné RFI, ale LFI naprosto bez problému, minimálně co se týká .php souborů.
---------- Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
Niekto | 95.105.210.*
12.3.2016 2:19
Zaujímalo by ma, či je možné v PHP zneužiť tento zápis: if(file_exists("ingame/" . @$_GET['p'] . ".php") && @$_GET['p'] != 'index') {
include "zlozka/" . @$_GET['p'] . ".php";
} else {
include "zlozka/test.php";
}
1) Ve zdrojáku bys to našel pouze v případě, že bys měl k dispozici opravdu zdrojové kódy PHP. Pokud si zobrazíš HTML kód stránky, tak tam to nenajdeš.
2) URL adresu při RFI je možné najít v logách serveru. GET požadavky jsou běžně logovány včetně parametrů.
---------- Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
Veľmi skvelí článok
Len by ma zaujímali niektoré veci
<?php
include($_GET['page']);
....
Ten kod ako nájdem len tak niekde v zdrojovom kóde stránky? Alebo ako to funguje?
A ak sa použije RFI je možné vypatrať tu cieľovú adresu ktorá bola zadaná do URL?