Include non sicuro

**Sinatra** · 10-01-2005, 12:16

Ciao. sono a digiuno di php
ho scaricato uno script per la gestione news,
ora hanno rilasciato un aggiornamento di sicurezza,
si parla di un include non sicuro

non capisco tuttavia quali dei due è quello corretto!
questo:
include("ashprojects/newsconfig.php");

o questo?
include($pathtoashnews."ashprojects/newsconfig.php");

:master:

**Riccardoone** · 10-01-2005, 13:06

il secondo ..

**Sinatra** · 10-01-2005, 13:09

il secondo è quello corretto e sicuro?

**}gu|do[z]{®©** · 10-01-2005, 13:09

Originariamente inviato da Sinatra
Ciao. sono a digiuno di php
ho scaricato uno script per la gestione news,
ora hanno rilasciato un aggiornamento di sicurezza,
si parla di un include non sicuro

non capisco tuttavia quali dei due è quello corretto!
questo:
include("ashprojects/newsconfig.php");

o questo?
include($pathtoashnews."ashprojects/newsconfig.php");

:master:

beh.. è chiaro che quello insicuro è quello in cui c'è qualcosa di "variabile"...

Anche se sinceramente in questo caso non vedo il rischio.. anche ammettendo il register globals attivo.. è vero che puoi andare in altri path.. ma cerca un file ben specifico..

**Sinatra** · 10-01-2005, 13:31

Originariamente inviato da }gu|do[z]{®©
beh.. è chiaro che quello insicuro è quello in cui c'è qualcosa di "variabile"...

Anche se sinceramente in questo caso non vedo il rischio.. anche ammettendo il register globals attivo.. è vero che puoi andare in altri path.. ma cerca un file ben specifico..

quindi il secondo è quello non sicuro
dove c'è la variabile
$pathtoashnews ?

**}gu|do[z]{®©** · 10-01-2005, 13:41

Originariamente inviato da Sinatra
quindi il secondo è quello non sicuro
dove c'è la variabile
$pathtoashnews ?

ripeto: potenzialmente sì... anche se in questo caso non vedo come...

ma di certo tra i due non è il primo

**Sinatra** · 10-01-2005, 14:44

Originariamente inviato da }gu|do[z]{®©
ripeto: potenzialmente sì... anche se in questo caso non vedo come...

ma di certo tra i due non è il primo

beh...ti posso dire che con il secondo include qualcuno ha già creato problemi all'hoster che ospita il sito

non mi chiedere come dato che non ne capisco nulla

**}gu|do[z]{®©** · 10-01-2005, 15:05

Originariamente inviato da Sinatra
beh...ti posso dire che con il secondo include qualcuno ha già creato problemi all'hoster che ospita il sito

non mi chiedere come dato che non ne capisco nulla

con il register globals attivo può modificare facilmente quella variabile.. ma siccome è specificato un ben preciso file non vedo che danni può fare.. in genere i problemi si hanno quando è il file una variabile.. se uno dall'esterno modifica quella variabile sfruttando il register globals.. può andarsene a spasso per l'HD...

**bubu77** · 10-01-2005, 16:26

Originariamente inviato da }gu|do[z]{®©
ripeto: potenzialmente sì... anche se in questo caso non vedo come...

ma di certo tra i due non è il primo

il secondo è insicuro con registerglobals su on
e
URL fopen wrappers su on

è uno script scaricabile quindi spesso si riconosce dai link che genera e dall'indirizzo sulla barra quindi quel file specifico
ashprojects/newsconfig.php è facile da ricreare per essere incluso

Discussione: Include non sicuro

Strumenti discussione

Ricerca discussione

Visualizza

Include non sicuro

Re: Include non sicuro

Re: Re: Include non sicuro

Re: Re: Re: Include non sicuro

Re: Re: Re: Re: Include non sicuro

Re: Re: Re: Re: Re: Include non sicuro

Re: Re: Re: Re: Include non sicuro

Permessi di invio