Zpět na seznam článků     Zpět na článek

Komentáře ke článku

 
 
 BBCode
madeye | 213.226.228.*5.2.2007 18:47
Btw. nejbanalnejsi a funkcni obrana proti file injection je odstraneni vsech lomitek ze vstupnich dat. 8))
madeye | 213.226.228.*5.2.2007 18:43
Dobra sumaz tematu. Akorat bych doplnil ze trik s nulovym bytem uz dneska na 90% procentech serveru nefunguje protoze je nutne mit nastaveno "magic_quotes_gpc = Off" coz implicitne neni. Pridani parametru za request v podobe ?foo= by naopak u remote inclusion fungovat mel, protoze v tomto pripade server navazuje http spojeni se vzdalenym serverem a posila pozadavek na celou adresu vcetne parametru. Nicmene cela prvni cast je vice-mene irelevantni protoze opet plati ze na 90% serverech je remote inclusion implicitne zakazano.
Emkei | E-mail | Website | PGP4.2.2007 0:07
tu knihu mam a jeste jsem ji neotevrel, nemam cas cist knihy. clanek vznikl vyhradne na zaklade vlastnich zkusenosti.
RubberDuck | E-mail | Website3.2.2007 22:07
Mozna se nechal inspirovat.. Ale urcite necerpal.. Za to bych dal ruku do ohne.. :)

----------
Sec-Cave.cz - [link]
brutefemale | 213.192.4.*3.2.2007 19:14
vidim ze autor cerpal z knizky
HACKING bez tajemství - webové aplikace
ale nic proti
jan sem se chtel pochlubit ze ji taky ctu
Emkei | E-mail | Website | PGP29.1.2007 18:45
zalezi na zabezpeceni zmineneho serveru, viz body "Co nemusí vyjít" ve clanku. uvedeny kod by sel napriklad snadno obejit 4. variantou utoku za pomoci kanonizace.
Člověk | E-mail | Website | ICQ 333-851-71729.1.2007 18:05
Vylepšení:
If ( isset( $_GET[ 'name' ] ) and file_exists( "./" . $_GET[ 'name' ] . ".php" ) ) {
include './' . $_GET[ 'name' ] . ".php";
} else {
include './main.php';
}
Člověk | E-mail | Website | ICQ 333-851-71729.1.2007 18:03
Emeki: Tak se mi do toho opři. co bys dělal když bys narazil na tohle. If ( isset( $_GET[ 'name' ] ) and file_exists( $_GET[ 'name' ] . ".php" ) ) {
include './' . $_GET[ 'name' ] . ".php";
} else {
include './main.php';
}
Emkei | E-mail | Website | PGP27.1.2007 22:28
2qaaz: thx za doplneni. tech postupu je opravdu nespocet, jen staci zminenou problematiku dostatecne pochopit.
kukacka | 85.160.215.*27.1.2007 17:02
nechapu proc tu chvalite navod a pak ste cely posrany, kdyz ho nekdo ze srandy vyzkousi :) jinak php include rozhodne neni cracking webu ;)

Stránky: 1 2 3 4
© 2003–2024 SOOM.cz | ISSN 1804-7270 | info@soom.cz | IRC #soom | changelog | MDliZjZlO