Автор Тема: [php][bug]Обход фильтрации включаемых файлов в PHP (Прочитано 5146 раз)

ThE0ReTiC · « : 31 Мая 2004, 11:51:27 »

http://www.securitylab.ru/45506.html

Меняздесьдавнонет · « **Ответ #1 :** 31 Мая 2004, 23:37:55 »

дешевая на*бка.

к пхп эта "бага" не имеет отношения.
только к ламерским скриптам.
я таких эксплойтов сто напишу

ThE0ReTiC · « **Ответ #2 :** 01 Июня 2004, 09:35:50 »

RomikChef
ну за что купил, за то и продаю

Меняздесьдавнонет · « **Ответ #3 :** 01 Июня 2004, 09:56:11 »

да это я не тебе, а тому французику, который это "открыл"...
западло просто называть дырой в пхп дыру в ламерских скриптах.

ThE0ReTiC · « **Ответ #4 :** 01 Июня 2004, 10:04:10 »

ну в общем-то да.
это все равно что называть SQL-Injection в PHP-NUKE дыркой в mysql

Yukko · « **Ответ #5 :** 01 Июня 2004, 10:05:49 »

Насколько я понял из сегодняшнего ночного чтива, способ фильтрации типа вот такого:
$page=preg_replace("/http:\\/\\//",\'\',$page);
$page=preg_replace("/ftp:\\/\\//",\'\',$page);
include($page);
стал чуть ли не хрестоматийным

раз эту "ошибку" к багам РНР причислили, да ведь помимо этого в $page в таком скрипте можно отправить ../../../etc/passwd

или я чего-то не догнал?

ThE0ReTiC · « **Ответ #6 :** 01 Июня 2004, 10:19:23 »

нефиг вообще конструкции типа

Цитировать

Yukko:
$page=preg_replace("/http:\\/\\//",\'\',$page);
$page=preg_replace("/ftp:\\/\\//",\'\',$page);
include($page);

использовать...

Меняздесьдавнонет · « **Ответ #7 :** 01 Июня 2004, 10:23:26 »

Цитировать

стал чуть ли не хрестоматийным

лично я эту хрестоматию никогда не читал.

в общем, этот французик, я дцумаю, всю жизнь фильтровал, как тут, и радовался оной.
а потом обнаружил в своих скриптах дфру и решил, что весь мир под угрозой.

Новости:

Автор Тема: [php][bug]Обход фильтрации включаемых файлов в PHP (Прочитано 5146 раз)