Autor Zpráva
jrm
Profil
Mám stránky v PHP, soubor index.php načítá potřebné do příslušných DIVů pomocí INCLUDE (pokud includovaný soubor existuje). Pokud includovaný soubor neexistuje, vidí uživatel hlášení a mailem si žaluji, co chybí, resp. že asi někdo šťourá. Občas v mailu najdu, jak si dotyčný upravuje adresový řádek. Setkali jste se sníže uvedenými příklady, resp. nejedná se o nějakého robota, co krade ap.?
Normálně vypadá řádek asi takto:
index.php?file=0_uvodni.php

Napadené pak:
index.php?opcao=./../../../../../../../../etc/passwd\0
index.php?show=./../../../../../../../../etc/passwd
index.php?a=./../../../../../../../../etc/passwd
index.php?content=./../../../../../../../../etc/passwd\0
index.php?file=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ\0
\'/../../../../../../<IMG SRC=\"javascript:alert(\'XSS\');\">
\'/../../../../../../<?php exec(whoami); ?>

atd.
Nox
Profil
no...to vypadá na nějakého bota co zjišťuje, jestli není v zabezpečení webu díra...xss, exec, passwd (hesla)
Str4wberry
Profil
Tak si příště posílej ještě informace o „útočníkovi“.
jrm
Profil
I to tam mám :-D a IP už má zakázánu (zkoušel to víckrát ze stejné).
Ale ještě to vypadá na dalšího bota, snad neškodného, který zkouší kombinovat to, co v adresářích skutečně mám, ale ty kombinace jsou trochu mimo:

./produkty/piggy/inc/dtree.js
./produkty/piggy/inc/inc/dtree.js
./produkty/piggy/inc/inc/inc/dtree.js
...
./produkty/piggy/inc/inc/inc/inc/inc/inc/inc/inc/inc/inc/inc/inc/inc/inc/inc/inc/inc/inc/inc/inc/dtree.js

Vaše odpověď

Mohlo by se hodit

Příspěvky nesouvisející s webem budou odstraněny.

Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: