СВОБОДОМЫСЛИЕ   КОММЕНТАРИЙ - Наблюдения по веб-хакингу

ГЛАВНАЯ

Наблюдения по веб-хакингу LovinGOD  12/07/11 00:30 Взломать сайт, запустив на нём произвольный php-скрипт, можно через сервисы загрузки на сайт разных картинок, файлов, и т.п. Если - они не проверяют расширение загружаемого файла и просто кладут файл с исходным именем на сервер. Но, если чуть выше есть .htaccess с "Deny from all", то запустить загруженный php-файл не получится. Не беда - сначала грузим .htaccess с "Allow from all", а потом уже свой скрипт. Ну и, ещё надо знать путь к этой директории, конечно. Это я сегодня так поломал свой движок файлового хостинга :) А потом защитил.  КОММЕНТИРОВАТЬ СООБЩЕНИЕ  АВТОР  [Только латиница, цифры, _ и -]  ТЕМА   ТЕКСТ  Вы можете использовать специальные теги: [q]цитата[/q], [b]жирный шрифт[/b], [i]италик[/i], [u]подчеркнутый[/u], [cy]желтый (оранжевый)[/cy], [cg]зеленый[/cg], [cw]жирно серый[/cw], [strike]перечеркнутый[/strike], [cb]синий[/cb], [r]красный[/r], [s]маленький[/s], [l=http://url]описание[/l] ("ЭЛЬ"), где URL может быть с http:// или без, описание может отсутствовать - вместо него будет подставлен URL   [q]Взломать сайт, запустив на нём произвольный php-скрипт, можно через сервисы загрузки на сайт разных картинок, файлов, и т.п. Если - они не проверяют расширение загружаемого файла и просто кладут файл с исходным именем на сервер. Но, если чуть выше есть .htaccess с "Deny from all", то запустить загруженный php-файл не получится. Не беда - сначала грузим .htaccess с "Allow from all", а потом уже свой скрипт. Ну и, ещё надо знать путь к этой директории, конечно. Это я сегодня так поломал свой движок файлового хостинга :) А потом защитил.[/q]

Ex.time (sec): 0.01482