Сразу скажу, я знаю, что php скрипты выполняются ТОЛЬКО на сервере.
Обратился ко мне заказчик. Лет-лет назад я делал ему сайт и использовал в анкор вызов js-функции, ну и не только в анкор. Заказчик где-то прочел, что хакеры в отладчике напр. в Firebug добираются до этого анкора и меняют обращение к ф-ции на алерт и в этот алерт, якобы, вставляют чтение сессионных переменных.
Ну чтобы изменить анкор в памяти своего компьютера это крутейшим хакером нужно быть, вероятно. А вот насчет алерта сомнения, я уверен, что в алерт нельзя в отладчике всунуть php скрипт, который будет выполняться на стороне пользователя. Насколько я понимаю, это концепция php, выполнение только на стороне сервера, а клиенту болт.
Кроме того, сессионая переменная создается после входа с паролем, а никак не до.
Но заказчик настаивает убрать вызовы ф-ций именно по причине возможности взлома.
Убрать, разумеется, можно, но это время. Сайт не маленький.
Заранее спасибо!
sh47n
| Цитата |
| Ну чтобы изменить анкор в памяти своего компьютера это крутейшим хакером нужно быть, вероятно. |
Анкор - это текст ссылки? На каком то ломаном басурманском языке?
Поменять текст ссылки в памяти своего компьютера можно через консоль браузера где то в 6 кликов мышкой.
| Цитата |
| Насколько я понимаю, это концепция php, выполнение только на стороне сервера, а клиенту болт. |
Это не концепция php, php к браузеру не имеет вообще никакого отношения, браузер читает html, выполняет js скрипты, о php он знать ничего не знает.
_____________
Промокод предоставляет скидку на заказ домена и/или хостинга reg.ru
BFCC-3895-8804-9ED2
| Цитата (Arh @ 24.11.2016 - 12:58) |
sh47n
| Цитата | | Ну чтобы изменить анкор в памяти своего компьютера это крутейшим хакером нужно быть, вероятно. |
Анкор - это текст ссылки? На каком то ломаном басурманском языке?
Поменять текст ссылки в памяти своего компьютера можно через консоль браузера где то в 6 кликов мышкой.
| Цитата | | Насколько я понимаю, это концепция php, выполнение только на стороне сервера, а клиенту болт. |
Это не концепция php, php к браузеру не имеет вообще никакого отношения, браузер читает html, выполняет js скрипты, о php он знать ничего не знает.
|
анкор(anchor) тег "a". Не обязательно ссылки, это может быть, кнопочка, картинка с кликом, вызов ф-ции js и т.д., т.е. везде, где нужен клик и лень прослушивать.
Язык басурманский. Что поделаешь, враги придумали этот язык.
Я согласен, что браузер ничего за php не знает. Вопрос в другом, действительно ли можно выполнить php скрипт описанным способом? На мой взгляд, если он мой пароль на мой сервер не имеет, то никак. Подсунуть линк со своего сервера, выполнить и получить результат он может, но это ничего не даст и доступ к моей базе он не получит. Так?
sh47n
| Цитата |
| анкор(anchor) тег "a". |
anchor же как якорь переводиться.
| Цитата |
| Вопрос в другом, действительно ли можно выполнить php скрипт описанным способом? |
Вот так что ли? К консоли браузера?
alert("<?php system('rm -rf /')?>");
_____________
Промокод предоставляет скидку на заказ домена и/или хостинга reg.ru
BFCC-3895-8804-9ED2
| Цитата (Arh @ 24.11.2016 - 17:28) |
sh47n
| Цитата | | Вопрос в другом, действительно ли можно выполнить php скрипт описанным способом? |
Вот так что ли? К консоли браузера? alert("<?php system('rm -rf /')?>"); |
Ну типа того. Мне только не понятно, как этот алерт можно заставить выполниться на моем сервере, а на локальном компьютере появится просто необработанное предупреждение.
Кроме того, с консоли я могу добавить/изменить любой тег, т.е. тут вообще не причем вызов функции внутри тега body.
Zzepish
24.11.2016 - 18:54
sh47n
такое реально сделать только в том случае, если ссылка прописанна в php-файле, она статична (т.е. не выбирается из бд как строка). Либо если у злоумышленника есть досту к файлам. И они могут их поменять
Zzepish, я почти тоже самое заказчику сказал, он читает в сети всякий бред...
Всем спасибо за поддержку!!!
Быстрый ответ:
Powered by dgreen
Здесь расположена полная версия этой страницы.