Один хороший друг сделал сайт, который проверяет веб-страницы на валидность и выводит её сорцы с предложенными исправлениями. Всё красиво нарисовано и замечательно работает.

.

И закралась мне мысль.. Вобщем, вместо адреса сайта, а вбил “index.php”. И что, вы думаете я увидел? Правильно, исходный пхп код index’a! Добраться до конфига, а из него и до базы не составило труда. Вот так file_get_contents слил всё на свете.

.

Баг он пофиксил заюзав мою функцию

Казалось бы – всё. А нет. Хотел проверить один сайт, да то-ли хот-кей не дожал, то-ли что, но в буфере оказалось “http://localhost/”. А в сорце я увидел.. Неожиданно интересную заглушку) Хотя, там могло быть что-то покруче.

Кейводы: file_get_contents, опасности file_get_contents, Уязвимости file_get_contents.

Похожие записи:

• md5 CUDA брутфорс для ubuntu
• Smarty и Javascript
• Зависание Opera
• WordPress 404 и неправильный REQUEST_URI
• Проблема с MPD

Теги: file_get_contents, php, Уязвимости

Статья добавлена в воскресенье, 2 августа, 2009 в 21:58 и находится в разделе php, Уязвимости. Вы можете читать новые комментарии в RSS 2.0 ленте. Вы можете Оставить комментарий, либо заюзать trackback с вашего сайта.