Ez a téma persze ennél sokkal bővebb, de minden részletét nem lehetett itt bemutatni, mert ahhoz módosítanom kellett volna a php forrást. Például bevitellel lehet terminálni a stringet így ha a program hozzátenné a file-hoz a kiterjesztést, akkor ezt a védelmet meg lehet így kerülni. Ezek bagatell programozói hibák, de mégis aki nem tudja, hogy ezen keresztül milyen sérülékenységet tud okozni egy szervernek könnyen így felejti a kódot - hisz működik és a fejlesztőknek ez általában már elég szokott lenni. Tehát érdemes ilyen hibák után kutatni, mert régiek ugyan de annál jobban kihasználhatóak.
2013. május 6., hétfő
DVWA File Inclusion Test
Ezen a Videón a File Inclusion tesztelését fogom bemutatni. Banális beállítások esetén működik a Remote File Inclusion vagy más néven RFI ami, ha van egy jó php shellünk, akkor nagyon kényelmessé teszi a szerver elfoglalását. Ha a távoli file inclusion nem működik, akkor lehet próbálkozni helyi inclusionokkal, amikkel szintén elég sok információt ki lehet szedni a gépből. (configokat kilistázni, satöbbi...)
Ez a téma persze ennél sokkal bővebb, de minden részletét nem lehetett itt bemutatni, mert ahhoz módosítanom kellett volna a php forrást. Például bevitellel lehet terminálni a stringet így ha a program hozzátenné a file-hoz a kiterjesztést, akkor ezt a védelmet meg lehet így kerülni. Ezek bagatell programozói hibák, de mégis aki nem tudja, hogy ezen keresztül milyen sérülékenységet tud okozni egy szervernek könnyen így felejti a kódot - hisz működik és a fejlesztőknek ez általában már elég szokott lenni. Tehát érdemes ilyen hibák után kutatni, mert régiek ugyan de annál jobban kihasználhatóak.
Ez a téma persze ennél sokkal bővebb, de minden részletét nem lehetett itt bemutatni, mert ahhoz módosítanom kellett volna a php forrást. Például bevitellel lehet terminálni a stringet így ha a program hozzátenné a file-hoz a kiterjesztést, akkor ezt a védelmet meg lehet így kerülni. Ezek bagatell programozói hibák, de mégis aki nem tudja, hogy ezen keresztül milyen sérülékenységet tud okozni egy szervernek könnyen így felejti a kódot - hisz működik és a fejlesztőknek ez általában már elég szokott lenni. Tehát érdemes ilyen hibák után kutatni, mert régiek ugyan de annál jobban kihasználhatóak.
Feliratkozás:
Megjegyzések küldése (Atom)
Nincsenek megjegyzések:
Megjegyzés küldése
Megjegyzés: Megjegyzéseket csak a blog tagjai írhatnak a blogba.