Ilość informacji jakie dostarcza phpinfo() jest ogromna: szczegóły kompilacji, rozszerzeń, wersji PHP, informacji o serwerze i środowisku (gdy skompilowane jako moduł). Każdy system jest skonfigurowany inaczej, phpinfo() z reguły wykorzystywane jest do sprawdzania różnego rodzaju zdefiniowanych zmiennych, ścieżek i innych informacji z systemu.
phpinfp() jest także cennym narzędziem debugerów, gdyż zawiera EGPCS (dane otoczenia, GET, POST Cookie, Server).
Poprzeczne pisanie kodu, daje Ci możliwość drukowania html, javascript i innych rzeczy na stronie. Jeśli intruz znajdzie stronę oferującą wgląd do phpinfo() np. http://www.xxx.xx/info.php może stworzyć
xss, dodając zmienne i dołączając je do html, lub javascript wartości jak naprzykładzie: http://www.xxx.xx/info.php?zmienna=[scrypt] (można zmienić [scrypt] w jakikolwiek kod html lub javascript.
Intruz może także ukraść cookies tym sposobem, jeśli wartość znajduje się w tym samym folderze co jakikolwiek program używający cookies.
Wbrew pozorom news ma celu zwrócenie uwagi webadminów na prawa dla phpinfo() :-)
PHP XSS exploitable w phpinfo()
Bezpieczeństwo |
Czw, 5 Czerw 2003 18:38:57 +0200 |
Autor:
Redakcja
| Czytań: 3254
Pozostałe wiadomości w kategorii Bezpieczeństwo (2391)
Top 20 news
Komentarze
Najaktywniejsi
1
Rellik 9630 pkt.
2
grzemach 870 pkt.
3
betaKondor 470 pkt.
4
Koras 350 pkt.
5
Localghost 140 pkt.
6
kris2005a 140 pkt.
7
elmocamp 100 pkt.
8
Tommy 100 pkt.
9
Scoti 80 pkt.
10
sevar 60 pkt.
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.