è possibile scrivere codice php nella barra degli indirizzi e funzionerà? [chiuso]

1

È possibile se uso nella barra degli indirizzi questo

host.com?<?php unlink("/img/bg.jpg");?>

o

host.com?<?php rename("/bg.jpg","bg.png");?>

se no allora c'è un modo per farlo?

    
posta krishnaTORQUE 31.01.2014 - 17:54
fonte

3 risposte

3

Purtroppo sì, o molto vicino ad esso, ma solo a causa di bug e / o errata configurazione . Per le installazioni CGI PHP era di recente un'esecuzione arbitraria di codice remoto utilizzando la stringa di query: CVE-2012-1823

Scritto dettagliatamente da Eindbazen che lo ha scoperto in un CTF Nullcon:    link

C'è un modulo Metasploit per sfruttare anche questo.

    
risposta data 31.01.2014 - 18:48
fonte
0

No, sarebbe un grosso problema di sicurezza se potessi inviare codice php nella barra degli indirizzi e fare in modo che la pagina web lo interpreti, che cosa stai cercando di fare esattamente?

    
risposta data 31.01.2014 - 18:14
fonte
0

La risposta è no - almeno probabilmente no. Sia il web server che l'interprete PHP sono abbastanza intelligenti da non passare tali valori generati dall'utente attraverso qualcosa che può eseguirlo - in circostanze normali. La chiave è "circostanze normali" qui. Potrebbe esserci una vulnerabilità nel software del server che consente ciò, ma probabilmente non sarebbe così semplice come mostra il tuo esempio.

Supponiamo che lo sviluppatore che scrive un'applicazione abbia fatto qualcosa di stupido e abbia abilitato la valutazione dinamica di PHP contro un input non convalidato, quindi sì, potrebbe essere possibile fare ciò che stai chiedendo. Inoltre, anche se fosse un input convalidato, un utente malintenzionato potrebbe ignorarlo se è abbastanza intelligente. La valutazione / esecuzione dinamica del codice è malvagia per il 99% delle volte.

    
risposta data 31.01.2014 - 18:22
fonte

Leggi altre domande sui tag