А
Та ему 15..
error
Size: a a a
2020 June 05
А
⠀
где скрин
No
ДК
Абдул
No
Помнишь условия?
𝓙
Та тут даже без слов можно
А
Помнишь условия?
Спасибо, напомнил
⠀
бля, думаешь я шучу чтоли
NC
Всем привет, безумно странный вопрос возник.
Почему из URL при заходе убирается две точки, например http://google.com/../../dir преобразуется в http://google.com/dir, проверил во всех браузерах и на разных доменах и везде одинаковое поведение.
Может кто знает какой механизм за это отвечает и есть ли у злоумышленника возможность это как-то обойти?
Почему из URL при заходе убирается две точки, например http://google.com/../../dir преобразуется в http://google.com/dir, проверил во всех браузерах и на разных доменах и везде одинаковое поведение.
Может кто знает какой механизм за это отвечает и есть ли у злоумышленника возможность это как-то обойти?
NC
Задача стоит описать для диплома почему моя система неуязвима к PHP-инъекциям.
Я так понимаю как-то браузер это режет так как в нетворке никаких редиректов нет, не могу допереть как описать такое поведение и на что вообще опираться.
Я так понимаю как-то браузер это режет так как в нетворке никаких редиректов нет, не могу допереть как описать такое поведение и на что вообще опираться.
SA
хз... чисто ради предположения,
cd /
cd ../../dir == cd ./dir
может корень здесь?
cd /
cd ../../dir == cd ./dir
может корень здесь?
SA
а PHP инъекции это что? я правда не в курсе, это не прикол
ДК
а PHP инъекции это что? я правда не в курсе, это не прикол
Уязвимости кода, когда ты можешь ввести PHP - код в строке браузера или в элементе сайта и он будет исполнен на сервере
SA
ну в форме я еще как то могу представить (нет)... но как в строке браузера? это что же такое надо с реквестом сделать? в eval засунуть?
ДК
ну в форме я еще как то могу представить (нет)... но как в строке браузера? это что же такое надо с реквестом сделать? в eval засунуть?
Ага. Ну добиться исполенения php трудно. SQL инъекции повсеместно
ДК
ну в форме я еще как то могу представить (нет)... но как в строке браузера? это что же такое надо с реквестом сделать? в eval засунуть?
Ну еще можно получить доступ к фс
SA
ну с сиквелом все ясно, сам сколько раз писал пока параметры не стал юзать
SA
это как если не секрет?
SA
я про фс
ДК
я про фс
ну к примеру у тебя есть скрипт который по определенному get или post запросу может сделать file_get_contents($path)
SA
хм... затейно. я наверное просто не предполагал никогда что кто то догадается засунуть реквестные данные в file_get_contents, тем более без валидации... я видимо too old for this shit ((((
ДК
хм... затейно. я наверное просто не предполагал никогда что кто то догадается засунуть реквестные данные в file_get_contents, тем более без валидации... я видимо too old for this shit ((((
Ой я и не такое видел