BugTraq.Ru
Русский BugTraq
http://www.bugtraq.ru/rsn/archive/2003/09/37.html

Кривой php-скрипт как прокси для всех желающих
dl // 22.09.03 16:34
Любопытная статья, посвященная одной проблеме при написании php-скриптов - если программист умудрится передать пользовательский ввод непосредственно в функции fopen, file, include, то в один прекрасный момент он может обнаружить, что этот скрипт используется всеми желающими в качестве халявного прокси.
[Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2003/09/37.html]

Впрочем, я бы не стал называть уязвимостью php то, что по сути является элементарным просчетом программиста. В конце концов, фильтрация пользовательского ввода стоит под номером один во всех руководствах по безопасному веб-программированию - и без столь легкого открытия внешних адресов, как это сделано в php, подобный просчет привел бы к гораздо более опасной возможности чтения любого файла на самом сервере.

Ну а взглянуть на развитие идеи вплоть до реализации своего прокси и ремейлера, конечно, полезно и поучительно.

Источник: PHPClub.net    
предложить новость  |  обсудить  |  все отзывы (1) [6534]
назад «  » вперед

последние новости
Microsoft обещает радикально усилить безопасность Windows в следующем году // 19.11.24 17:09
Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10
20 лет Ubuntu // 20.10.24 19:11
Tailscale окончательно забанила российские адреса // 02.10.24 18:54
Прекращение работы антивируса Касперского в США // 30.09.24 17:30
Microsoft Authenticator теряет пользовательские аккаунты // 05.08.24 22:21
Облачнолазурное // 31.07.24 17:34

Комментарии:

еще по теме 22.09.03 17:49  
Автор: paganoid Статус: Member
<"чистая" ссылка>
> Ну а взглянуть на развитие идеи вплоть до реализации своего
> прокси и ремейлера, конечно, полезно и поучительно.

еще нечто похожее, только не через PHP, а через браузер.

HTML Form Protocol Attack
<добавить комментарий>





  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach