Pokaż wyniki 1 do 10 z 10

Temat: Pobranie pliku PHP bez jego wykonywania ?

  1. #1
    Zarejestrowany
    Jan 2007
    Postów
    3

    Domyślnie Pobranie pliku PHP bez jego wykonywania ?

    Czy istnieje mozliwosc pobrania calego pliku PHP z serwera przez jakis program lub przegladarke bez wykonania tego pliku przez serwer ?
    Chodzi o to zeby pobrac caly plik PHP a nie kod wynikowy.
    Slyszalem, ze sa jakies programy do tego celu.
    Mozecie mi powiedziec jakie ?
    Chce poeksperymentowac i sprawdzic czy jest mozliwosc zabezpieczenia skryptu przed takim programem.

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Jesli serewr WWW jest skonfigurowany do obslugi plikow PHP - to znaczy posiada wlaczona obsluge PHP, to kazde odwolanie sie do pliku php spowoduje jego wykonanie i nie da sie go sciagnac w postaci kodu.

    Apache ma to zrobione tak ze plik z kodem php mozesz nawet nazwac sobie .txt, .html albo i .dupajasiu ale pozniej w dyrektywach AddType i AddHandler podajesz jakie rozszerzenia w twoim systemie maja pliki PHP i jesli ktos zapyta przez WWW o taki plik to apache bedzie szukal w pliku kodu PHP i jesli znajdzie to wykona najpierw a to co uzyska wysle klientowi.

    Jesli serwer ma obsluge PHP i chcesz pobrac kod zrodlowy PHP to sie nie da.
    Bylo kiedys cos jak pliki .phps - PHP Source, apache zwracal to ladnie pokolorowane ale ze wzgledow bezpieczenstwa chyba wszyscy maja to zablokowane juz dawno

    Google przyjacielem :-) Zobacz jak to dziala a pozniej utnij ostatnie 's' z URLa:
    http://www.sexygirlgeek.com/share/wp-login.phps
    http://www.control.aau.dk/~danji/tea...php/login.phps
    http://ratsnet.org/vhcs/error/index.phps

    Ten ostatni to chyba zle skonfigurowany serwer bo .php wykonal a .phps pokazal Ogolnie konfiguracja pozwalajaca na wyswietlenie kodu zrodlowego aplikacji jest ogromnym bledem i zagrozeniem dla bezpieczenstwa...

  3. #3
    Zarejestrowany
    Jan 2007
    Postów
    3

    Domyślnie

    A czy jest mozliwe zeby z zewnatrz podczas pobierania pliku powstrzymac ten proces wykonania go ktory normalnie powinien nastapic (wg konfiguracji) i pobrac ten plik w calosci jak kazdy inny ?

    Przegladarka podczas laczenia sie z serwerem wymiania z nim wiele danych a tam gdzie jest wymiana danych teoretycznie istnieje mozliwosc przejecia (chociazby czesciowej) kontroli nad drugim urzadzeniem (W tym wypadku serwerem).

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Nie, poniewaz zanim serwer cokolwiek odpowie to juz wykonuje kod...

    Dokladnie dziala to tak, ze serwer dostaje polaczenie od Ciebie, sprawdza czy plik ktory chcesz pobrac istnieje - jesli by go nie bylo dostaniesz 404 Not Found i po sprawie, jesli jednak plik jest to bedzie on wykonany...

    Jesli podczas wykonania bedzie blad w skrypcie i wykonanie zakonczy sie przerwaniem programu, dostaniesz blad 500 Internal Server Error...

    Dopiero jak program zakonczy dzialanie znane jest cale jego wyjscie (produkt) czyli wygenerowana stronka. Wiele serwerow podaje jeszcze w naglowku odpowiedzi pole Content-Length i dlugosc wygenerowanej strony w bajtach (choc nie koniecznie musi to robic). Dopiero po zakonczeniu dzialania programu strona jest wysylana do klienta, bo jesli wykonanie kodu sie nie powiedzie to trzeba wyslac komunikat bledu.

    Naglowki raz wyslane sa nie do odwrocenia - jak zostanie wyslane 500 Internal Server Error to nie ma dyskusji - program zakonczyl dzialanie bez zwracania prawidlowych naglowkow w komunikacji z serwerem (program zwraca naglowki do serwera, serwer sprawdza... pozniej wysyla sam naglowki do klienta).

  5. #5
    Zarejestrowany
    Jan 2007
    Postów
    3

    Domyślnie

    Dzieki za wyjasnienie
    Pozdrawiam!

  6. #6
    Zarejestrowany
    Jun 2007
    Postów
    1

    Domyślnie

    OK, ale przecież, jeżeli w folderze nie ma domyślnie wykonywanego pliku (np brak index.php, albo index.html) to po wpisaniu adresu pojawia się lista plików znajdujących się w folderze, a potem da się zrobić "zapisz jako..." i już plik jest na dysku. Czy nie da się za pomocą przeglądarki wywołać takiego właśnie widoku, z pominięciem domyślnie uruchamianych plików?

  7. #7
    Avatar eMCe
    eMCe jest offline Emil Grzegorz Gubała
    Zarejestrowany
    Dec 2006
    Skąd
    Kielce
    Postów
    1,767

    Domyślnie

    nic z tego - kolego
    za miło by było

    z tego co wiem działa to na takiej zasadzie ze przeglądarka tak jakby wchodzi na tą stronę(plik) - skrypt sie wykonuje i zapisywany jest wynik...
    Agencja reklamy kielce (mały kilkudniowy case pozycjonerski )

  8. #8
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Sciagnac taki plik mozna tylko przez FTP albo inny file manager - nawet dzialajacy przez WWW ale taki ktory pobiera plik z dysku jako lokalny user a nie uzywa serwera WWW do otwarcia pliku.

    Co do "zapisz jako" - tez nie zadziala... poza tym jesli ktos zostawia wlaczone Indexes to az prosi sie o problemy...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  9. #9
    Zarejestrowany
    Apr 2007
    Skąd
    ex machina
    Postów
    130

    Domyślnie

    Jakie problemy mogą wyniknąć z włączonego Indexes jeśli np ktoś trzyma w katalogu tylko *.mp3 na przykład?
    Wasz czas jest ograniczony, więc nie marnujcie go na życie cudzym życiem. Nie dajcie się schwytać w pułapkę dogmatu, która oznacza życie według wskazówek innych ludzi. Nie pozwólcie, by szum opinii innych zagłuszył wasz wewnętrzny głos. I co najważniejsze, miejcie odwagę iść za głosem swojego serca i intuicji. Wszystko inne jest mniej ważne.

    Steve Jobs

  10. #10
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Problemy z prawami autorskimi a poza tym nie wiele... pod warunkiem ze jest to jedyny w jakim masz Indexes odpalone... Jak chcesz wiedziec co mozna wyciagnac to poszukaj w google - cuda ludzie trzymaja... albo "super bezpieczna firma" ma serwer na ktorym jest wizytowka z wersja softu i modulami zaladowanymi - tylko pogratulowac

    Potencjalny atakujacy juz ma punkt zaczepienia...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Podobne wątki

  1. [php] Obsługa sesji
    By Dominik in forum PHP/CGI/ASP/JSP/J2EE
    Odpowiedzi: 1
    Autor: 11-20-2006, 17:38
  2. Rozszyfrowanie pliku SAM
    By Faunabox in forum Hacking
    Odpowiedzi: 0
    Autor: 11-18-2006, 15:53
  3. Porzadek na Forum a wlasciwie jego brak
    By Wyrafinowana Kurtyzana in forum Problemy/Skargi
    Odpowiedzi: 8
    Autor: 07-28-2006, 11:06
  4. Php i Informix
    By tazz in forum PHP/CGI/ASP/JSP/J2EE
    Odpowiedzi: 2
    Autor: 07-04-2006, 13:02
  5. Kalendarz w PHP - rozpoznawanie dni tygodnia
    By Dominik in forum PHP/CGI/ASP/JSP/J2EE
    Odpowiedzi: 4
    Autor: 06-24-2006, 18:48

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52