X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> Доступ к файлу из каталога выше, Очень глупый вопрос
Timis
Timis
Topic Starter сообщение 30.1.2014, 22:03; Ответить: Timis
Сообщение #1


Участник
***

Группа: User
Сообщений: 163
Регистрация: 5.3.2013
Поблагодарили: 23 раза
Репутация:   1  


Есть структура вида:

/home/login/www/сайт -

в каталоге www лежит файл - его надо скрыть (скрипт сайта берет из него некоторую инфу).

Правильно я понимаю, что через браузер к этому файлу не попасть (что логично) и, можно сказать, что он защищен? smile.gif


--------------------
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
allvake
allvake
сообщение 30.1.2014, 22:15; Ответить: allvake
Сообщение #2


Завсегдатай
*****

Группа: Active User
Сообщений: 594
Регистрация: 16.8.2011
Из: South
Поблагодарили: 272 раза
Репутация:   37  


Цитата
Правильно я понимаю, что через браузер к этому файлу не попасть (что логично) и, можно сказать, что он защищен?
Смотря с какими правами он находится на сервере. Читайте права доступа chmod и смотрите с какими правами он находится в указанной вами директории
Если коротко, 777 - владелец, группа и все остальные могут читать, записывать и исполнять файл
r-права на чтение
w-права на запись
x-права на исполнение
и т.д.
Да и наберите в браузере как вы сказали www/сайт/тот.файл и смотрите

Сообщение отредактировал allvake - 30.1.2014, 22:26
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Timis
Timis
Topic Starter сообщение 30.1.2014, 22:59; Ответить: Timis
Сообщение #3


Участник
***

Группа: User
Сообщений: 163
Регистрация: 5.3.2013
Поблагодарили: 23 раза
Репутация:   1  


Так в том то и дело, что файл на каталог выше сайта - в каталоге login, а не в каталоге www) Так что без понятия, как такое в браузере набрать...

Сообщение отредактировал Timis - 30.1.2014, 23:00


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
anchous
anchous
сообщение 30.1.2014, 23:19; Ответить: anchous
Сообщение #4


Йеребатан Абырвалг
*******

Группа: Super Moderator
Сообщений: 7996
Регистрация: 12.4.2011
Из: СССР
Поблагодарили: 4515 раз
Репутация:   418  


для паблика он невидим, но достучаться до него теоретически можно если знать куда долбиться в бродилке


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Timis
Timis
Topic Starter сообщение 31.1.2014, 0:02; Ответить: Timis
Сообщение #5


Участник
***

Группа: User
Сообщений: 163
Регистрация: 5.3.2013
Поблагодарили: 23 раза
Репутация:   1  


Цитата(anchous @ 30.1.2014, 22:19) *
если знать куда долбиться в бродилке


Например?


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
anchous
anchous
сообщение 31.1.2014, 0:15; Ответить: anchous
Сообщение #6


Йеребатан Абырвалг
*******

Группа: Super Moderator
Сообщений: 7996
Регистрация: 12.4.2011
Из: СССР
Поблагодарили: 4515 раз
Репутация:   418  


Цитата(Timis @ 31.1.2014, 0:02) *
Например?

если будет обращение к скрипту или к запросам, имеющим права доступа к файлу


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
DukeNukem
DukeNukem
сообщение 31.1.2014, 2:32; Ответить: DukeNukem
Сообщение #7


DNSTUFF
*****

Группа: Active User
Сообщений: 638
Регистрация: 7.10.2010
Из: Украина. Запорожье
Поблагодарили: 240 раз
Репутация:   39  


например делается php скрипт в котором пишется
Цитата
$file=file_get_contents (/home/login/file.txt); echo $file;

Но для этого надо знать точное название итп.

Сообщение отредактировал DukeNukem - 31.1.2014, 2:33


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Timis
Timis
Topic Starter сообщение 31.1.2014, 8:42; Ответить: Timis
Сообщение #8


Участник
***

Группа: User
Сообщений: 163
Регистрация: 5.3.2013
Поблагодарили: 23 раза
Репутация:   1  


И сам скрипт надо еще закинуть куда-то


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
x64
x64
сообщение 31.1.2014, 9:42; Ответить: x64
Сообщение #9


F.A.L.L.O.U.T.
*******

Группа: Super Moderator
Сообщений: 3424
Регистрация: 30.6.2011
Из: Железнодорожный (Балашиха)
Поблагодарили: 2745 раз
Репутация:   289  


можно и не закидывать. если у вас гордый самопис, вполне бывает подобное:
http://site.ru/index.php?file=index.html
и в скрипте
Код
<?php
...
readfile($_GET['file']);

соответственно, передав в запросе:
http://site.ru/index.php?file=../password.txt
получим обращение к файлу /home/login/www/сайт/../password.txt что разворачивается в /home/login/www/password.txt
но, как уже подметил anchous, для этого (помимо наличия скрипта с инъекцией) нужно знать имя файла.

но можно и закинуть скрипт, если будет передаться не только имя, но и произвольный текст, который записывается в файл $_GET['file'], узнать структуру (в пределах open_basedir текущего виртуального хоста) становится вообще тривиальной задачей.


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Timis
Timis
Topic Starter сообщение 31.1.2014, 12:49; Ответить: Timis
Сообщение #10


Участник
***

Группа: User
Сообщений: 163
Регистрация: 5.3.2013
Поблагодарили: 23 раза
Репутация:   1  


Нет, к счастью, не самопис))

Понятно, спасибо!


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Горячая тема (нет новых ответов) ApiSystem.ru - открытый доступ к Контентному API Яндекс.Маркет
56 zuziken 41045 8.12.2017, 16:50
автор: zuziken
Открытая тема (нет новых ответов) Куплю домены с тиц 30 и выше
1 dimonsuper 968 1.12.2017, 12:10
автор: zhanna_87
Открытая тема (нет новых ответов) Куплю сайты принятые в Гогетлинкс с ТИЦ 10 и выше
0 vladislavn 680 25.11.2017, 21:43
автор: vladislavn
Открытая тема (нет новых ответов) Куплю домен с ТИЦ от 30 и выше
(возрастом от 6 месяцев)
5 Cesar 1702 8.11.2017, 23:40
автор: xline
Горячая тема (нет новых ответов) "ВКонтакте" и "Одноклассники" ограничили доступ к музыке
38 MissContent 3216 7.11.2017, 23:06
автор: moneytuz


 



RSS Текстовая версия Сейчас: 13.12.2017, 15:31
Дизайн