ru.website

 
 - RU.WEBSITE -------------------------------------------------------------------
 From : Max Kuriloff                         2:5020/400     13 Nov 2000  11:44:14
 To : All
 Subject : Hа: вставка файла
 -------------------------------------------------------------------------------- 
 

 
 "Konstantin Riabitsev" <graf@relhum.org> сообщил/сообщила в новостях
 следующее: news:8umgla$m3u$1@graf.relhum.org...
 
 > MK> Можно инклюдить и без явы: <!--#include virtual="${QUERY_STRING}"-->
 > MK> Кстати, вопрос ко всем: насколько это безопасно?
 >
 > Очень плохо. Если я знаю что ты это используешь, то я могу запросто
 > считать любой файл с твоей системы (к которому имеет доступ процесс
 > веб-сервера)
 
 Другими словами, если с правами доступа на сервере нет проблем, то такая
 конструкция совершенно безопасна?
 
 >. Hапример, запустив:
 >
 > http://your.site/your.shtml?/etc/passwd
 >
 > Я получу твои системные пароли (конечно, если они доступны). Даже если ты
 > использовал virtual, вместо file, то я все равно могу уволочь какие-нибудь
 > htaccess-ы или файлы с паролями из-под рута твоего серверa.
 
 Hа нормальных серверах обычно htaccess не отдается клиенту по http...
 Hасколько я пробовал с помощью такой конструкции инклюдятся только те файлы,
 которые и так можно просмотреть...
 --- ifmail v.2.15dev5
  * Origin: Novokuznetsk TTS (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор