LinkBack URL
About LinkBacksSecondo me con lo script che hai usato (questo) non si riesce a includere un file esterno (rfi)...
Il problema potrebbe sorgere (su AV, white-list esclusa, le connessioni sono bloccate) con script del tipo:
Il problema può essere risolto imponendo che $_GET['file'] contenga un percorso relativo e non assoluto. Esempio:Codice PHP:$file_da_includere = $_GET['file']){
include($file_da_includere);
Dai uno sguardo anche a safe modeCodice PHP:$file_da_includere = $_GET['file']){
include("una_directory/" . $file_da_includere);
Ciao
Visualizzazione risultati 31 fino 34 di 34
Discussione: Avere un url del tipo index.php?page=...
-
28-06-2008, 12.03.46 #31Guest
-
28-06-2008, 12.12.23 #32Guest
Il mio script infatti contiene percorsi relativi, però un mio amico sostiene di avermi caricato una shell ma, ripeto, aveva (perchè adesso l'ho cambiata) la password del mio ftp.
Ho chiesto ad un'altro mio amico se riusciva a bucarmi il sito, ancora niente per ora.
Speriamo che non sia possibile caricarmi nulla....
-
28-06-2008, 12.23.01 #33Guest
Puoi provare tu stesso...
Comunque fidati, se lo script che hai utilizzato è quello del 21° post, non ci riuscirà...
Ciao
-
28-06-2008, 12.47.12 #34Guest
Esiste moltissima documentazione in merito alla sicurezza degli script PHP, basta cercare su Google. Uno dei principali errori che molti programmatori non esperti (a dir la verità ho incontrato molta gente che si reputava esperta e faceva di questi errori) fanno è proprio quello di scrivere script php che includono pagine il cui percorso viene passato tramite GET allo script. Come dice giuseppeiemma con quello script tu non includi direttamente il file indicato dal parametro page, quindi tutto ciò non è assolutamente possibile.
Io comunque ti dico solo un paio di cose:
1) non far avere mai e sottolineo mai la password del tuo ftp a NESSUNO: altrimenti con il tuo sito possono giocare come e quanto vogliono senza alcun problema.
2) se il codice è sempre stato quello (e suppongo di si, date le tue conoscenze), c'è una probabilità del 99.9% che il tuo amico ti abbia raccontato una balla (vedi sopra).
p.s.: se riesco a ritrovare un sito fatto da uno che voleva sostituire il mio lavoro di qualche anno in meno di una settimana, te lo mostro così ti rendi conto una volta per tutte di quanto tutto ciò che è stato detto sia vero.
saluti
