| |
автор: юный хакер (08.08.2005 в 22:15) |
|
| | Имеется конструкция типа:
echo '<img src=" '.$url.' ">'
Что будет, если по $url будет картинка с вредоносным скриптом? | |
| |
|
|
| |
|
|
| |
для: юный хакер
(08.08.2005 в 22:15)
| | | Все зависит от работы скрипта.... насколько он вредный, но я лучше бы этого не испытывал :).. | |
| |
|
|
| |
автор: юный хакер (08.08.2005 в 22:38) |
|
| |
для: Boss
(08.08.2005 в 22:26)
| | | Вот это мну и смущает)))
а можно, как нибудь запретить выполнение этого скрипта, ведь на форумы можно загружать аватары, и никто не боится, что аватара может быть с сюрпризом=) | |
| |
|
|
| |
|
|
| |
для: юный хакер
(08.08.2005 в 22:38)
| | | > а можно, как нибудь запретить выполнение этого скрипта
Закрой браузер, выйди из инета, выключи компьютер и закопай его на глубину 20 метров.
Вряд ли ты сможешь запретить загрузку скрипта, он ведь робить на серверной стороне.
>и никто не боится, что аватара может быть с сюрпризом
А чего надо боятся? вряд ли скрипт может удалить папку Windows, просто смышленые пользователи знают как уберечь свой компьютер, например нестандартные пути папок, фаерволы, антивири... можно даже написать свою программы на проверку входящего трафика... но это уже компьютерная безопастность...
Самые опасные скрипты на которые я натыкался это переполнение памяти было, весь explorer заглюхал напрочь.... | |
| |
|
|
| |
|
|
| |
для: юный хакер
(08.08.2005 в 22:15)
| | | По $url должна быть картинка, хотя имеются умельцы которые встраивают в картинку скрипты - это не просто... Кроме того, серьёзного урона нанести нельзя... максимум cookie своровать или ещё что-то в этом духе, так как изображение будет грузится браузером и злоумышленику придётся пользоваться JavaScript или аналогичную технологию. Если на сервере отключены функцию выполняющие shell-команды, то развернуться будет в общем негде... динамические имена, без инициализации опасны в конструкции include... | |
| |
|
|
| |
|
|
| |
для: cheops
(09.08.2005 в 01:28)
| | | А если вместо картинки php-скрипт? Последствия могут быть плачевны.
… хотя вопрос был, наверное, про клиента, а не про сервер. | |
| |
|
|
| |
|
|
| |
для: glsv (Дизайнер)
(09.08.2005 в 09:44)
| | | Его между двух точек будет не так просто всобачить, хотя конечно если не отлючена функция system() и прочие - будет плохо, также злоумышленик сможет воспользоваться функцией eval(). Но всё это хозяйство стараются отключить. | |
| |
|
|
| |
|
|
| |
для: юный хакер
(08.08.2005 в 22:15)
| | | Может быть пригодится.
Чтобы запретить выполнение php-скриптов в директориях с картинками или файлами, которые могут загружать пользователи, поместите в эти директории файл .htaccess с директивами
Options -Indexes
RemoveHandler .php .phtml
AddType text/html .php .phtm .htm .html .phtml
|
Все php-скрипты будут интепретироваться, как html-файлы | |
| |
|
|
