Autor | Zpráva | ||
---|---|---|---|
ShiraNai7 Profil |
#1 · Zasláno: 17. 10. 2011, 20:48:43 · Upravil/a: ShiraNai7
Dnes jsem zjistil že na serveru, kde mám zařízený webhosting, je jakýkoliv soubor s názvem ve tvaru cokoliv.php.cokoliv vyhodnocen jako PHP soubor (i soubory s názvy například test.php.blablanesmysl). Bylo mi sděleno, že "jde o standardní chování direktivy apache". Máte s tímto nějaké zkušenosti? Jak moc je tato anomálie rozšířená? Jde mi zejména o to, že tímto lze obejít zamezení uploadu PHP souboru uživateli kontrolou přípony (muselo by se to upravit).
|
||
janbarasek Profil |
#2 · Zasláno: 17. 10. 2011, 21:42:03
ShiraNai7:
Asi je to normální, teď jsem to vyzkoušel, a taky se mi to tak chová (Linuxovej server na Ubuntu = Lamp server). Na jinym serveru to vyzkoušet nemůžu, ale asi to bude běžné. |
||
ShiraNai7 Profil |
#3 · Zasláno: 17. 10. 2011, 22:34:17
Velice nepříjemné. Za cca 5 let jsem se s tímhle ještě nesetkal.
|
||
Davex Profil |
#4 · Zasláno: 17. 10. 2011, 23:31:32
ShiraNai7:
Obvykle je to vlastnost špatně nakonfigurovaného webserveru z rodiny RHEL/CentOS/ScientificLinux. Možná i serveru na Ubuntu, protože to je přecejenom distribuce na desktop vycházející z experimentálního Debianu. Webserver postavený na stabilním nebo testovacím Debianu to v běžné konfiguraci nedělá, protože tam již tato nežádoucí vlastnost byla odstraněna. V adresáři s uploadovanými soubory bys měl přesto zakázat jakékoliv skriptování. |
||
ShiraNai7 Profil |
#5 · Zasláno: 18. 10. 2011, 00:46:34
V daném adresáří mohou být za určitých podmínek žádoucí skripty i normální soubory. Díky za informaci. Byl jsem tedy nucen funkci upravit, aby eventuálné nepovolila ani tento divný formát.
|
||
Časová prodleva: 13 let
|
0