PHP XSS exploitable w phpinfo()

Author: hoaxer \ czerwiec 5, 2003 \ Aktualności \ 0 komenarzy

Ilość informacji jakie dostarcza phpinfo() jest ogromna: szczegóły kompilacji, rozszerzeń, wersji PHP, informacji o serwerze i środowisku (gdy skompilowane jako moduł). Każdy system jest skonfigurowany inaczej, phpinfo() z reguły wykorzystywane jest do sprawdzania różnego rodzaju zdefiniowanych zmiennych, ścieżek i innych informacji z systemu.

phpinfp() jest także cennym narzędziem debugerów, gdyż zawiera EGPCS (dane otoczenia, GET, POST Cookie, Server).

Poprzeczne pisanie kodu, daje Ci możliwość drukowania html, javascript i innych rzeczy na stronie. Jeśli intruz znajdzie stronę oferującą wgląd do phpinfo() np. http://www.xxx.xx/info.php może stworzyć
xss, dodając zmienne i dołączając je do html, lub javascript wartości jak naprzykładzie: http://www.xxx.xx/info.php?zmienna=[scrypt] (można zmienić [scrypt] w jakikolwiek kod html lub javascript.

Intruz może także ukraść cookies tym sposobem, jeśli wartość znajduje się w tym samym folderze co jakikolwiek program używający cookies.

Wbrew pozorom news ma celu zwrócenie uwagi webadminów na prawa dla phpinfo() 🙂

Wojciech Grzegorz Mysiakmarzec 17, 2021"https://www.youtube.com/results?search_query=hackers+winnings+digital+pa…"
Filip M.październik 9, 2020"My też zdecydowaliśmy się na voip od firmy Super VoIP i była to najlepsz…"
scot mackpaździernik 1, 2020"Dzień dobry panie / pani, Oferujemy wszystkie rodzaje pożyczek z niskim…"
scot mackpaździernik 1, 2020"Dzień dobry panie / pani, Oferujemy wszystkie rodzaje pożyczek z niskim…"
Arkadiusz Siczeklipiec 1, 2020"Nie wiem czy w dobie ekshibicjonizmu internetowego możemy w ogóle mówić…"