Título: Duda con Remote File Disclosure Publicado por: pedrox@ en 13 Agosto 2008, 14:40 pm Hola buenas.
¿De que manera podría parchear un Remote File Disclosure? Ejemplo código: Código
Con este tipo de fallo el atacante podría leer cualquier archivo de texto plano: http://localhost/archivovulnerable.php?filename=/etc/group ¿Qué formas habría de solucionar este fallo? Salu2 Título: Re: Duda con Remote File Disclosure Publicado por: Diabliyo en 13 Agosto 2008, 16:26 pm Hola buenas. ¿De que manera podría parchear un Remote File Disclosure? Ejemplo código: Código
Con este tipo de fallo el atacante podría leer cualquier archivo de texto plano: http://localhost/archivovulnerable.php?filename=/etc/group ¿Qué formas habría de solucionar este fallo? Salu2 Pues la solucion depende de lo que quieres hacer con tu script, por ejemplo: Digamos que ese script lo quieres para leer un datos o varios datos dentro del mismo directorio donde trabaja el script con la finalidad de obtener informacion que has ido resguardando, entonces solo utilizas un strchr(); para verificar la existencia de un caracter, de modo que evitas la existencia de carateres como '/'. Por otro lado si vas a leer archivos (sin saber el nombre) de un directorio en especifico, pues vuleves a utilizar strchr() para verificar que exista el nombre del directorio dentro del valor $_GET[]. Todo seria en cuestion de: Que quieres que haga ese script ?.... bye bye Código
|