Autor | Zpráva | ||
---|---|---|---|
Darker Profil |
#1 · Zasláno: 24. 2. 2011, 20:03:01
Vytvořil jsem upload server, a mám trochu problém s bezpečností.
Server ukládá soubory pod původním názvem (pokud neexistují) a povoluje i nahrátí PHP. Aby se soubory nemohly spustit, dal jsem do složky se soubory tento konfigurační soubor: <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^([a-zA-Z0-9\.]+)[/]?$ upload/index.php?file=$1 </IfModule> Ale pravděpodobně to není dostatečná ochrana, někdo to dokázal obejít. Testovat to můžete, nové PHP skriptu nahrát nepůjdou, ale je již nahraný soubor echo.php. Složka se soubory se jmenuje files. |
||
Davex Profil |
#2 · Zasláno: 26. 2. 2011, 00:05:15 · Upravil/a: Davex
Darker:
Už se to tu řešilo. Podívej se třeba do • Jak zabezpečit skripty? • Ošetření uploadu. • upload fotografie s omezením • Zabezpečení upload scriptu Cílem zabezpečení by měl být zákaz spuštění všech skriptů v upload adresáři (na serveru nemusí být jen PHP). |
||
Časová prodleva: 3 dny
|
|||
Darker Profil |
#3 · Zasláno: 28. 2. 2011, 16:24:42
A tuší někdo, jak se tomu člověku podařilo skript spustit?
|
||
Davex Profil |
#4 · Zasláno: 28. 2. 2011, 17:47:22
Darker:
Možná se tam někde dá použít LFI nebo RFI Exploit, ale nezkoušel jsem. |
||
Darker Profil |
#5 · Zasláno: 28. 2. 2011, 19:15:03
Šlo mi spíš o princip než o „LFI nebo RFI Exploit“ ať už je to cokoli. (použiju google)
|
||
Časová prodleva: 13 let
|
0