!include cokoliv
February 13, 2005
Neděle třináctého ve znamení spousty čestvého, ale už i rozbředlého sněhu & tím pádem slušně těžké lopaty. Dnes blogpost pro stránkomejkry :).
Před dlouhou dobou mi nějaký přátelský hacker (:)) na icq poradil, abych si opravil ve stránkách chybu. Chybou mělo být to, že se do stránek dají vkládat soubory z jiných serverů.
Nepochopil jsem to - předpokládal jsem, že je míněno vkládání přes formulářové pole pro soubor, přišlo mi to jako nesmysl a za pár dní jsem na to zapomněl.
A, teďka, opožděně děkuju, už jsem pochopil - v sobotu se tak dívám a v poledne je tady už 40 návštěv. Jelikož mám teďka tak polovinu návštěv denně, co dřív, tedy cca 20, překvapilo mě to.
Prokoumal jsem stránky, na které tito lidé přišli & všechny byly nesmysly s naincludovaným kompostem do toku stránky.
Tedy, ve smyslu, že $a
je proměnná, kterou chytám z url & v kódu je
pak jen a pouze na řádku vypsané include $a;
Opravit problém už nebyla věru věc na dlouho (navíc to bylo takto nechráněné jen v jedné stránce). Stačila podmínka na pár věcí & hotovo.
Kdyby mi někdo do kódu naincludoval něco veselého v php, mohl jsem mít po ptákách. Takže kdyžtak si nějak upodmínkujte includy s argumentem z url, pokud to tak ještě nemáte.
Import komentářů ze starší verze webu
.. | Endlife | mail (neděle 13. 02. 2005, 21:35)
ale když ten php skript nadepíšu fujskript.htm, tak se nevyhodnotí na tom prvním serveru, takže až u mě, ne? já nikdy nic moc z venku neincludoval, tudíž se v tom nevyznám..
.. | Endlife | mail (neděle 13. 02. 2005, 21:40)
>> vytestoval jsem to, jde to..
.. | God.zilla | (neděle 13. 02. 2005, 20:52)
tohle neni zadna vazna zranitelnost - includovat php kod takhle z jinych serveru nejde, kdybys mel treba
$a="https://mojestranky.cz/fujskript.php";
tak se stejne vlozi jenom vystup toho skriptu, ktery se v zadnem pripade nebude vyhodnocovat.. takze dont worry, be heapy :-)