Jan Martinek

!include cokoliv

February 13, 2005

Neděle třináctého ve znamení spousty čestvého, ale už i rozbředlého sněhu & tím pádem slušně těžké lopaty. Dnes blogpost pro stránkomejkry :).

Před dlouhou dobou mi nějaký přátelský hacker (:)) na icq poradil, abych si opravil ve stránkách chybu. Chybou mělo být to, že se do stránek dají vkládat soubory z jiných serverů.

Nepochopil jsem to - předpokládal jsem, že je míněno vkládání přes formulářové pole pro soubor, přišlo mi to jako nesmysl a za pár dní jsem na to zapomněl.

A, teďka, opožděně děkuju, už jsem pochopil - v sobotu se tak dívám a v poledne je tady už 40 návštěv. Jelikož mám teďka tak polovinu návštěv denně, co dřív, tedy cca 20, překvapilo mě to.

Prokoumal jsem stránky, na které tito lidé přišli & všechny byly nesmysly s naincludovaným kompostem do toku stránky.

Tedy, ve smyslu, že $a je proměnná, kterou chytám z url & v kódu je pak jen a pouze na řádku vypsané include $a;

Opravit problém už nebyla věru věc na dlouho (navíc to bylo takto nechráněné jen v jedné stránce). Stačila podmínka na pár věcí & hotovo.

Kdyby mi někdo do kódu naincludoval něco veselého v php, mohl jsem mít po ptákách. Takže kdyžtak si nějak upodmínkujte includy s argumentem z url, pokud to tak ještě nemáte.

Import komentářů ze starší verze webu

.. | God.zilla | (neděle 13. 02. 2005, 20:52)

tohle neni zadna vazna zranitelnost - includovat php kod takhle z jinych serveru nejde, kdybys mel treba

$a="https://mojestranky.cz/fujskript.php";

tak se stejne vlozi jenom vystup toho skriptu, ktery se v zadnem pripade nebude vyhodnocovat.. takze dont worry, be heapy :-)

.. | Endlife | mail (neděle 13. 02. 2005, 21:35)

ale když ten php skript nadepíšu fujskript.htm, tak se nevyhodnotí na tom prvním serveru, takže až u mě, ne? já nikdy nic moc z venku neincludoval, tudíž se v tom nevyznám..

.. | Endlife | mail (neděle 13. 02. 2005, 21:40)

>> vytestoval jsem to, jde to..