nixp.ru v3.0

27 мая 2017,
суббота,
05:29:57 MSK

DevOps с компанией «Флант»
propeller написал 4 октября 2005 года в 18:10 (223 просмотра) Ведет себя как мужчина; открыл 53 темы в форуме, оставил 158 комментариев на сайте.

Слыхал, что можно заполучить с сервера не просто html файл — результат работы php, а даже сам файл, из которого эта самая html страница генерируется. Не знаю, как это можно сделать, но слыхивал, что дело обычное…

И еще, насколько защита файла методом


Order ACCEPT, DENY DENY from ALL </File>

обходима?

8084

Слышал что прог таких даже много, но IMO — лохотрон :lol:

iliya
propeller
Слыхал, что можно заполучить с сервера не просто html файл — результат работы php, а даже сам файл, из которого эта самая html страница генерируется. Не знаю, как это можно сделать, но слыхивал, что дело обычное…

Ага <? echo » <html>
….»; ?>

propeller
И еще, насколько защита файла методом


Order ACCEPT, DENY DENY from ALL </File>

обходима?

Насколько нужно.

propeller

ну объяснил просто ураган!

По поводу »
» — что имеется в виду? что-то своим умом продожить по непрерывности мысль не получается. а ты постеснялся раскрыть всю идею.

По поводу защиты файла: из твоего ответа я делаю вывод, что для любой задачи как-то связной с доступом к этому файлу, существует метод обхода этой защиты.

тогда расскажи, как исправить\удалить этот файл. только не надо схем класса «скомпроментируем рута…».

Genie
Ага <? echo » <html>
….»; ?>

совершенно не обязательно. ;)

<html>
<body>
…<? … ?>…</html> тоже валиден ;)

И еще, насколько защита файла методом

слишком она расплывчата. ограничения для ALLOW не прописаны, а по умолчанию — ALL. таким образом, имеет смысл в данном случае — только порядок указания

Order ACCEPT, DENY

получать же при этом файл/результат обработки файла не помешает.

что же касается первого вопроса -

Слыхал, что можно заполучить с сервера не просто html файл — результат работы php, а даже сам файл, из которого эта самая html страница генерируется.

если в данном каталоге не установлено разрешение на исполнение скриптов, то — будет показывать код этого скрипта, а не результат его работы.

ну, или если модуль обработки отвалился. такое тоже бывает, часто — по недосмотру со стороны администратора. (на этапе установки и настройки web-сервера ещё и не такое бывает…)

Не знаю, как это можно сделать, но слыхивал, что дело обычное…

если оно настроено, и настроено правильно, то это возможно только через дырки в скриптах, использующихся на сервере или через уязвимость самого web-сервера или его компоненты.
</body>
</html>

propeller

А что значит «слишком расплывчита"? Если у меня стоит

Deny from All

тут уж все четко сказано. ну если можно получить файл, то как?

К чему вы заговорили про

<html>
<body>
<??></html>

Я вообще не понимаю, как это относится к вопросу!
</body>
</html>