Что этим пытаються добиться? /../../etc/passwd

[seva2]

Что этим пытаються добиться? /../../etc/passwd

Как они пытаються получить пасс?
Как от этого обезопаситься?

 

[_vampiro_]

) по пхп вопрос, действительно...

 

[440hz]

где ты такое получил? даже интересно ...

 

[whirlwind]

>где ты такое получил? даже интересно
в логах вебсервера

 

[Tor]

<?php
include("pages/". $page);
?>

site.ru/news
site.ru/../../etc/passwd

понятно?

 

[440hz]

whirlwind
покажи кусочек?

 

[ilkz]

Элементарно: в том файле прописаны логины и пароли. Пароли зашифрованы в md5. Хацкер возьмет эти хэши и с помощью брутфорсера найден либо сам пароль, либо коллизию (т.е., комбинацию символов, которая при шифровке дает такой же хэш).

 

[betik]

ilkz если пароль нормальный то найдёт он через тыщу лет

 

[physh]

но по-хорошему у него не должна быть возможность туда зайти

 

[Crazy]

Братья, а давно вы видели, чтобы в etc/passwd действительно лежали хэши паролей?

 

[kamatoz]

Ой, как же давно они там лежали.... ).
узнают только пользователей, их домашние диры и uidы. И что с этого?

 

[master_x]

kamatoz

И что с этого?

А то, что тема- приколы первокласника Васи, прочитавшего журнал Ксакеп на переменке, и обсуждать такую ерунду, тем более на форуме по PHP как-то странно.

 

[rooot]

master_x
парень подумал, стану хакером с помошью phpclub ))

seva2
раньше надо было думать о таких весчах, это уже не проходитilkz
Хацкер возьмет эти хэши и с помощью брутфорсера найден либо сам пароль, либо коллизию (т.е., комбинацию символов, которая при шифровке дает такой же хэш).
-----------------------

дай скачать а? )))

 

[Alexandre]

илия что-то недопонимаю,
как можно подняться выше DOCUMENT_ROOT директории,
второе
как правило, почти все err 404 - делают все перенаправления на 404.php
да и DOCUMENT_ROOT и HOME разделяют по разным каталогам,
т.е. ../../etc/passwd далеко не в HOME директории пользователя.

в общем, может 5 лет назад - это было актуально - сейчас уже нет.

-~{}~ 17.02.06 12:44:

стандартный ответ сервера на site.ru/../../etc/passwd

Bad request!
Your browser (or proxy) sent a request that this server could not understand.

If you think this is a server error, please contact the webmaster.

 

[Tor]

как можно подняться выше DOCUMENT_ROOT директории

ты же не у апача просишь страницу
это пхп может ее подключить
если настройками ос это не запрещено, то примерно такой скрипт, как я написал вначале, покажет тебе желаемый файл с юзерами
а зная юзеров, вполне реально у кого-нибудь из них найти легкий пароль по словарю

 

[rooot]

Alexandre
как можно подняться выше DOCUMENT_ROOT директории

Можно!