| |
|
|
| | Не знаю, является ли это дырой, но интересно. Сценарий такой:
На форум в сообщение загружается Perl'овский скрипт без расширения. Если у файла нет расширения, *nix системы ориентируются по содержимому файла (вроде-бы, не знаю точно). Система, обнаружив, что файл является Perl - скриптом запускает его. Короче говоря, хакеру достаточно при добавлении сообщения на форум прикрепить к сообщению скрипт без расширения и запустить его через браузер. Возможно ли такое?
P.S. Я сделал так: к файлам без расширения добавляю его (*.dat). | |
| |
|
|
| |
|
|
| |
для: Commander
(18.05.2009 в 07:44)
| | | Именно поэтому CGI-скрипты на подавляющем большинстве хостингов выполняются в специальной папке, в которую с форума ничего не попадает. В других папках работают только встроенные модули, которые ориентируются только на расширение файла. | |
| |
|
|
| |
|
|
| |
для: cheops
(18.05.2009 в 13:10)
| | | То есть к файлам без расширения можно при их копировании расширения не добавлять? | |
| |
|
|
| |
|
|
| |
для: Commander
(19.05.2009 в 05:01)
| | | Если добавите .txt хуже не будет. | |
| |
|
|
| |
|
|
| |
для: cheops
(19.05.2009 в 10:47)
| | | Спасибо. | |
| |
|
|
