Załączniki
darkman
30.12.2008
Prosiłbym o zwiększenie możliwości dodawania załączników o rozszerzenie .inc.
bartek124
27.01.2009
Oki.
Mój komentarz będzie dotyczył załączników .inc. Otóż mogłeś nie wiedzieć (specyficzne rozszerzenie), ale takie pliki parsują się w PHP. Umożliwiając dodawanie takich załączników, teoretycznie zrobiłeś dziurę w całym forum.
Pozwoliłem sobie sprawdzić, i dziekujcie Bogu, odpowiedni skrypt .htaccess zablokował dostęp do wszystkich załączników (zezwala jedynie przy żądaniach POST/GET, czyli pobierać można normalnie).
Ale jak wiecie, z przemkiem różnie bywa, nie jedna dziura była, nie jedną załatali, nie jedna została. Jeśli ktoś byłby w stanie wykonać jakąkolwiek funkcje PHP, gdziekolwiek, czyli np. usunięcie tego skryptu .htaccess, dałeś mu pełny dostęp do stronki . Bez problemu, poprzez załączniki będzie sobie wgrywał specjalnie przygotowane skrypty PHP i robił z tym supportem co mu się żywnie podoba.
Oczywiście to jest mało prawdopodobne, że ktoś takie coś zrobi, ale lepiej zapobiegać niż leczyć, prawda?
Moją dobrą radą będzie uniemożliwienie wysyłanie załączników .inc, ale decyzja należy do Was
Mój komentarz będzie dotyczył załączników .inc. Otóż mogłeś nie wiedzieć (specyficzne rozszerzenie), ale takie pliki parsują się w PHP. Umożliwiając dodawanie takich załączników, teoretycznie zrobiłeś dziurę w całym forum.
Pozwoliłem sobie sprawdzić, i dziekujcie Bogu, odpowiedni skrypt .htaccess zablokował dostęp do wszystkich załączników (zezwala jedynie przy żądaniach POST/GET, czyli pobierać można normalnie).
Ale jak wiecie, z przemkiem różnie bywa, nie jedna dziura była, nie jedną załatali, nie jedna została. Jeśli ktoś byłby w stanie wykonać jakąkolwiek funkcje PHP, gdziekolwiek, czyli np. usunięcie tego skryptu .htaccess, dałeś mu pełny dostęp do stronki . Bez problemu, poprzez załączniki będzie sobie wgrywał specjalnie przygotowane skrypty PHP i robił z tym supportem co mu się żywnie podoba.
Oczywiście to jest mało prawdopodobne, że ktoś takie coś zrobi, ale lepiej zapobiegać niż leczyć, prawda?
Moją dobrą radą będzie uniemożliwienie wysyłanie załączników .inc, ale decyzja należy do Was
wizu
27.01.2009
Dzięki za informacje. To, że można je includować w php wiedziałem, ale nie sądziłem, że dadzą się wykonywać Jeszcze raz dzięki za informację