_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Полная Версия: Ссылка на папку
Если бы твой include-inj работал, то у тебя вывелось дважды BEFORE INCLUDE из-за строчки 28. Но у тебя выводится лишь 1 раз.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
inpost
Я не готов тебя обучать за бесплатно, ты мне и так должен денег.
Тем более, ты не внимательный ученик.
Я не готов тебя обучать за бесплатно, ты мне и так должен денег.
Тем более, ты не внимательный ученик.
| Цитата |
| Да, в твоем случае в конце указано расширение 'php' и я не смогу инклюдить /etc/passwd , но все, абсолютно все php файлы сервера могут быть спокойно приинклюдены, вне зависимости от того, было ли это предусмотрено или нет. |
Тема закрыта, ты мне не интересен.
_____________
[продано копирайтерам]
Признайся, что там нет уязвимости. Будь мужиком ;)
Публично говорю, что заплачу тебе, если ты мне покажешь эту самую уязвимость. ;) Даже не так. Мы встречаемся в скайпе, если ты прав и учишь меня, то я плачу тебе. Если я учу тебя, то ты платишь мне. Можешь позвать кого-то из судей, чтобы было честно. Прям ты офигеешь на сколько интересный PHP язык и убедишься, что тут нет уязвимости, а я получу честно заработанные деньги за обучения. Я не много беру, как безработный фрилансер ;)
Показываю код ещё раз:
Там нет в конце .php . Он подставляется из URL. Вот:
http://game.school-php.com/?module=static&page=static.php
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Публично говорю, что заплачу тебе, если ты мне покажешь эту самую уязвимость. ;) Даже не так. Мы встречаемся в скайпе, если ты прав и учишь меня, то я плачу тебе. Если я учу тебя, то ты платишь мне. Можешь позвать кого-то из судей, чтобы было честно. Прям ты офигеешь на сколько интересный PHP язык и убедишься, что тут нет уязвимости, а я получу честно заработанные деньги за обучения. Я не много беру, как безработный фрилансер ;)
Показываю код ещё раз:
echo 'BEFORE INCLUDE<br>';
include './modules/'.$_GET['module'].'/'.$_GET['page'];
echo '<br>AFTER INCLUDE';
Там нет в конце .php . Он подставляется из URL. Вот:
http://game.school-php.com/?module=static&page=static.php
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Аллесклярыч, пусть чувак учит людей полной куйне, чуго ты так раздухарился? 
Ну не фтыкает он в программировние, так и пусть. Или не?
"и эти люди ругают Попова" (с) мое
_____________
Свои мозги еще никто не отменял.
Телепатов нету.
Ну не фтыкает он в программировние, так и пусть. Или не?
"и эти люди ругают Попова" (с) мое
_____________
Свои мозги еще никто не отменял.
Телепатов нету.
inpost
Детский сад, ей богу. У тебя брат не боксер?
на, дерржи.
_____________
[продано копирайтерам]
Детский сад, ей богу. У тебя брат не боксер?
на, дерржи.
<?php
// index.php
error_reporting(-1);
ini_set('display_errors', 1);
echo 'BEFORE INCLUDE<br>';
include './modules/'.$_GET['module'].'/'.$_GET['page'];
echo '<br>AFTER INCLUDE';
_____________
[продано копирайтерам]
AllesKlar
Бери деньги, пока предлагает.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Бери деньги, пока предлагает.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Лол, я уже не понимаю, кто и кого в этой теме затроллил. На дворе 2к17, а люди все еще не используют матчинг роутов.
_____________
Люди, имеющие низкий уровень квалификации, делают ошибочные выводы, принимают неудачные решения и при этом неспособны осознавать свои ошибки в силу низкого уровня своей квалификации
_____________
Люди, имеющие низкий уровень квалификации, делают ошибочные выводы, принимают неудачные решения и при этом неспособны осознавать свои ошибки в силу низкого уровня своей квалификации
AllesKlar
Мне не нужен твой код, ты мой взломай. Или ты не веришь, что я тебе честно показываю 28-30 строчки кода? Могу даже демонстрацию экрана включить и ты на живую увидишь эту часть кода.
Тебя не смутило, когда ты на моём сайте ввёл:
То у тебя ничего не заработало? И не смотря на это ты всё же опубликовал сообщение, что тут уязвимость ;) И почему ты ни разу не попробовал подключить .txt файл, который ты 100% уверен, что есть на сервере.
Давай уже создадим консорциум в скайпе, я поделюсь 50% дохода с экспертом, который нас будет судить.
Я жду, пока ты честным не станешь и не признаешься, что в у меня нет уязвимости в этой части кода как и у ТС выше. Можешь даже признаться, что ты не понимаешь как такое возможно, скорее всего я кудесник PHP, мастер высшего уровня, но как ты не пытался тебе не удаётся ничего сделать на моём сервере :lol:
chee
Ничего не понял. ;)
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Мне не нужен твой код, ты мой взломай. Или ты не веришь, что я тебе честно показываю 28-30 строчки кода? Могу даже демонстрацию экрана включить и ты на живую увидишь эту часть кода.
Тебя не смутило, когда ты на моём сайте ввёл:
Array
(
[module] => ../../../../etc
[page] => passwd
)
То у тебя ничего не заработало? И не смотря на это ты всё же опубликовал сообщение, что тут уязвимость ;) И почему ты ни разу не попробовал подключить .txt файл, который ты 100% уверен, что есть на сервере.
Давай уже создадим консорциум в скайпе, я поделюсь 50% дохода с экспертом, который нас будет судить.
Я жду, пока ты честным не станешь и не признаешься, что в у меня нет уязвимости в этой части кода как и у ТС выше. Можешь даже признаться, что ты не понимаешь как такое возможно, скорее всего я кудесник PHP, мастер высшего уровня, но как ты не пытался тебе не удаётся ничего сделать на моём сервере :lol:
chee
Ничего не понял. ;)
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
inpost, а ты взял типовой веб-сервер без измененных настроек безопасности? Без специфичных конфигов апача и php.ini?
У нас данное поведение (то что сейчас воспроизводится на твоем сервере) воспроизведется, если мы кинем папочку (с твоим кодом) у себя на сервер?
Можешь не отвечать, ответ очевиден, у нас уязвимость воспроизведется.
Тут ни кто не писал, про конфигурирование сервера, а все вопросы разбирались на типовой конфигурации (у ТС скорей всего типовая). Если запускать код на типовой конфигурации, уязвимость есть, если запускать на твоём сервере, в котором ты можешь конфиги править как угодно, уязвимости может и не быть.
_____________
Люди, имеющие низкий уровень квалификации, делают ошибочные выводы, принимают неудачные решения и при этом неспособны осознавать свои ошибки в силу низкого уровня своей квалификации
У нас данное поведение (то что сейчас воспроизводится на твоем сервере) воспроизведется, если мы кинем папочку (с твоим кодом) у себя на сервер?
Можешь не отвечать, ответ очевиден, у нас уязвимость воспроизведется.
Тут ни кто не писал, про конфигурирование сервера, а все вопросы разбирались на типовой конфигурации (у ТС скорей всего типовая). Если запускать код на типовой конфигурации, уязвимость есть, если запускать на твоём сервере, в котором ты можешь конфиги править как угодно, уязвимости может и не быть.
_____________
Люди, имеющие низкий уровень квалификации, делают ошибочные выводы, принимают неудачные решения и при этом неспособны осознавать свои ошибки в силу низкого уровня своей квалификации
chee
Без специфичных настроек, всё по умолчанию. У тебя тоже всё будет безопасно. Код с 28 по 30 строчку я выше показал, он неизменный.
У ТС тоже уязвимости нет, я то знаю.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Без специфичных настроек, всё по умолчанию. У тебя тоже всё будет безопасно. Код с 28 по 30 строчку я выше показал, он неизменный.
У ТС тоже уязвимости нет, я то знаю.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
О сейчас, я всё понял. Действительно жирное троллирование.
_____________
Люди, имеющие низкий уровень квалификации, делают ошибочные выводы, принимают неудачные решения и при этом неспособны осознавать свои ошибки в силу низкого уровня своей квалификации
_____________
Люди, имеющие низкий уровень квалификации, делают ошибочные выводы, принимают неудачные решения и при этом неспособны осознавать свои ошибки в силу низкого уровня своей квалификации
| Цитата (inpost @ 18.05.2017 - 15:20) |
скорее всего я кудесник PHP, мастер высшего уровня, но как ты не пытался тебе не удаётся ничего сделать на моём сервере  |
Ты вообще самая красивая в нашем дворе.
К сожалению, я не словоблуд, вон twin-ну доставь удовольствие.
Он посмакует.
А то что ты учишь людней говнокоду, а инклюдить необработанные данные - это говнокод, это плохо.
Если же ты обрабатываешь суперглобальные массивы, то это еще более лютый говнокод.
Если ты меняешь стандартное поведение функций, то это самый страшный говнокод.
И если твой кусок кода не отрабатывает должным образом, а он не отрабатывает, иначе бы была инъекция, то тебя на пушечный выстрел нельзя подпускать к командной работе.
Потому что код должен быть логичен, легко читаем, легко поддерживаем.
В твой кусок уже посмотрело несколько сильных людей с форума и высказались не в твою пользу.
Ты же скачешь, аки обезьянка, и радуешься, как здорово ты всех надурил, все думают инъекция, а ее нет, ты гений php.
Не гений ты, геморрой ты прогрессивной степени для любой команды разработчиков.
За такое по рукам бить надо, Стасик, по рукам....
Спрячь свои листики и не показывай никому, засмеют.
_____________
[продано копирайтерам]
AllesKlar
Забирай свои слова, что тут есть уязвимость. Будь мужиком. Или докажи, что тут уязвимость есть.
А насчёт засмеют, я засмеиваю тебя уже целые сутки, ты просто не понимаешь как работает код на PHP Но быть глупым не стыдно, у тебя всегда есть шанс почитать больше книг и повысить свою квалификацию.
К тому же в этой ситуации все видят, что я понимаю как работает код, а ты - нет. Ты утверждаешь глупость. После того, как я доказал, что ты не прав и продвигаешь глупость, то ты неожиданно объявил меня, что "я не умею писать код". Так может если ты не знаешь как работает код, то это ты не умеешь писать код, а тот, кто разбирается в PHP - умеет?
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Забирай свои слова, что тут есть уязвимость. Будь мужиком. Или докажи, что тут уязвимость есть.
А насчёт засмеют, я засмеиваю тебя уже целые сутки, ты просто не понимаешь как работает код на PHP
Но быть глупым не стыдно, у тебя всегда есть шанс почитать больше книг и повысить свою квалификацию. К тому же в этой ситуации все видят, что я понимаю как работает код, а ты - нет. Ты утверждаешь глупость. После того, как я доказал, что ты не прав и продвигаешь глупость, то ты неожиданно объявил меня, что "я не умею писать код". Так может если ты не знаешь как работает код, то это ты не умеешь писать код, а тот, кто разбирается в PHP - умеет?
Свернутый текст
Хотя какая логика, это же форум, это же интернет
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
chee
А почему троллирование? У ТС нет уязвимости, AllesKlar утверждает, что есть в виду своей неопытности в программировании.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
А почему троллирование? У ТС нет уязвимости, AllesKlar утверждает, что есть в виду своей неопытности в программировании.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Я же написал, что нет уязвимости.
| Цитата (AllesKlar @ 18.05.2017 - 17:12) |
| И если твой кусок кода не отрабатывает должным образом, а он не отрабатывает, иначе бы была инъекция, то тебя на пушечный выстрел нельзя подпускать к командной работе. |
Мне прям хочется тебя на колени посадить и пожалеть
Спокойнее, Стасик.... всё хорошо. Нету у тебя уязвимости, ты королева.
_____________
[продано копирайтерам]
Здесь расположена полная версия этой страницы.