Forum
Użytkownicy
Kalendarz
Dodatki SourceMod
Prosiłbym o zwiększenie możliwości dodawania załączników o rozszerzenie .inc.
Witamy w Nieoficjalnym polskim support'cie AMX Mod X
Witamy w Nieoficjalnym polskim support'cie AMX Mod X, jak w większości społeczności internetowych musisz się zarejestrować aby móc odpowiadać lub zakładać nowe tematy, ale nie bój się to jest prosty proces w którym wymagamy minimalnych informacji.
|
Guest Message by DevFuse
Załączniki
Temat rozp. darkman, 30.12.2008 16:03
-
Temat jest zamknięty
5 odpowiedzi w tym temacie
#3
- Autor tematu
-
- Przyjaciel
Wszechwiedzący
Reputacja: 87
Zaawansowany
Napisano 18.01.2009 17:54
otwieram i jeszcze raz proszę o .ini
- 0
#5
-
- Użytkownik
Profesjonalista
Reputacja: 30
Życzliwy
Napisano 27.01.2009 21:12
Oki.
Mój komentarz będzie dotyczył załączników .inc. Otóż mogłeś nie wiedzieć (specyficzne rozszerzenie), ale takie pliki parsują się w PHP. Umożliwiając dodawanie takich załączników, teoretycznie zrobiłeś dziurę w całym forum.
Pozwoliłem sobie sprawdzić, i dziekujcie Bogu, odpowiedni skrypt .htaccess zablokował dostęp do wszystkich załączników (zezwala jedynie przy żądaniach POST/GET, czyli pobierać można normalnie).
Ale jak wiecie, z przemkiem różnie bywa, nie jedna dziura była, nie jedną załatali, nie jedna została. Jeśli ktoś byłby w stanie wykonać jakąkolwiek funkcje PHP, gdziekolwiek, czyli np. usunięcie tego skryptu .htaccess, dałeś mu pełny dostęp do stronki
. Bez problemu, poprzez załączniki będzie sobie wgrywał specjalnie przygotowane skrypty PHP i robił z tym supportem co mu się żywnie podoba.
Oczywiście to jest mało prawdopodobne, że ktoś takie coś zrobi, ale lepiej zapobiegać niż leczyć, prawda?
Moją dobrą radą będzie uniemożliwienie wysyłanie załączników .inc, ale decyzja należy do Was
Mój komentarz będzie dotyczył załączników .inc. Otóż mogłeś nie wiedzieć (specyficzne rozszerzenie), ale takie pliki parsują się w PHP. Umożliwiając dodawanie takich załączników, teoretycznie zrobiłeś dziurę w całym forum.
Pozwoliłem sobie sprawdzić, i dziekujcie Bogu, odpowiedni skrypt .htaccess zablokował dostęp do wszystkich załączników (zezwala jedynie przy żądaniach POST/GET, czyli pobierać można normalnie).
Ale jak wiecie, z przemkiem różnie bywa, nie jedna dziura była, nie jedną załatali, nie jedna została. Jeśli ktoś byłby w stanie wykonać jakąkolwiek funkcje PHP, gdziekolwiek, czyli np. usunięcie tego skryptu .htaccess, dałeś mu pełny dostęp do stronki
. Bez problemu, poprzez załączniki będzie sobie wgrywał specjalnie przygotowane skrypty PHP i robił z tym supportem co mu się żywnie podoba.Oczywiście to jest mało prawdopodobne, że ktoś takie coś zrobi, ale lepiej zapobiegać niż leczyć, prawda?
Moją dobrą radą będzie uniemożliwienie wysyłanie załączników .inc, ale decyzja należy do Was
- 0
#6
-
- Przyjaciel
Godlike
Reputacja: 224
Profesjonalista
- Postów:1 217
-
GG:
- Lokalizacja:Sanok
Napisano 27.01.2009 21:41
Dzięki za informacje. To, że można je includować w php wiedziałem, ale nie sądziłem, że dadzą się wykonywać 
Jeszcze raz dzięki za informację
Jeszcze raz dzięki za informację
- 0
Użytkownicy przeglądający ten temat: 0
0 użytkowników, 0 gości, 0 anonimowych
