X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> Доступ к файлу из каталога выше, Очень глупый вопрос
Timis
Timis
Topic Starter сообщение 30.1.2014, 22:03; Ответить: Timis
Сообщение #1


Участник
***

Группа: User
Сообщений: 163
Регистрация: 5.3.2013
Поблагодарили: 23 раза
Репутация:   1  


Есть структура вида:

/home/login/www/сайт -

в каталоге www лежит файл - его надо скрыть (скрипт сайта берет из него некоторую инфу).

Правильно я понимаю, что через браузер к этому файлу не попасть (что логично) и, можно сказать, что он защищен? smile.gif


--------------------
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
allvake
allvake
сообщение 30.1.2014, 22:15; Ответить: allvake
Сообщение #2


Завсегдатай
*****

Группа: Active User
Сообщений: 597
Регистрация: 16.8.2011
Из: South
Поблагодарили: 272 раза
Репутация:   37  


Цитата
Правильно я понимаю, что через браузер к этому файлу не попасть (что логично) и, можно сказать, что он защищен?
Смотря с какими правами он находится на сервере. Читайте права доступа chmod и смотрите с какими правами он находится в указанной вами директории
Если коротко, 777 - владелец, группа и все остальные могут читать, записывать и исполнять файл
r-права на чтение
w-права на запись
x-права на исполнение
и т.д.
Да и наберите в браузере как вы сказали www/сайт/тот.файл и смотрите

Сообщение отредактировал allvake - 30.1.2014, 22:26
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Timis
Timis
Topic Starter сообщение 30.1.2014, 22:59; Ответить: Timis
Сообщение #3


Участник
***

Группа: User
Сообщений: 163
Регистрация: 5.3.2013
Поблагодарили: 23 раза
Репутация:   1  


Так в том то и дело, что файл на каталог выше сайта - в каталоге login, а не в каталоге www) Так что без понятия, как такое в браузере набрать...

Сообщение отредактировал Timis - 30.1.2014, 23:00


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
anchous
anchous
сообщение 30.1.2014, 23:19; Ответить: anchous
Сообщение #4


Йеребатан Абырвалг
*******

Группа: Super Moderator
Сообщений: 8173
Регистрация: 12.4.2011
Из: СССР
Поблагодарили: 4630 раз
Репутация:   426  


для паблика он невидим, но достучаться до него теоретически можно если знать куда долбиться в бродилке


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Timis
Timis
Topic Starter сообщение 31.1.2014, 0:02; Ответить: Timis
Сообщение #5


Участник
***

Группа: User
Сообщений: 163
Регистрация: 5.3.2013
Поблагодарили: 23 раза
Репутация:   1  


Цитата(anchous @ 30.1.2014, 22:19) *
если знать куда долбиться в бродилке


Например?


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
anchous
anchous
сообщение 31.1.2014, 0:15; Ответить: anchous
Сообщение #6


Йеребатан Абырвалг
*******

Группа: Super Moderator
Сообщений: 8173
Регистрация: 12.4.2011
Из: СССР
Поблагодарили: 4630 раз
Репутация:   426  


Цитата(Timis @ 31.1.2014, 0:02) *
Например?

если будет обращение к скрипту или к запросам, имеющим права доступа к файлу


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
DukeNukem
DukeNukem
сообщение 31.1.2014, 2:32; Ответить: DukeNukem
Сообщение #7


DNSTUFF
*****

Группа: Active User
Сообщений: 638
Регистрация: 7.10.2010
Из: Украина. Запорожье
Поблагодарили: 241 раз
Репутация:   40  


например делается php скрипт в котором пишется
Цитата
$file=file_get_contents (/home/login/file.txt); echo $file;

Но для этого надо знать точное название итп.

Сообщение отредактировал DukeNukem - 31.1.2014, 2:33


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Timis
Timis
Topic Starter сообщение 31.1.2014, 8:42; Ответить: Timis
Сообщение #8


Участник
***

Группа: User
Сообщений: 163
Регистрация: 5.3.2013
Поблагодарили: 23 раза
Репутация:   1  


И сам скрипт надо еще закинуть куда-то


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
x64
x64
сообщение 31.1.2014, 9:42; Ответить: x64
Сообщение #9


F.A.L.L.O.U.T.
*******

Группа: Super Moderator
Сообщений: 3544
Регистрация: 30.6.2011
Из: Железнодорожный (Балашиха)
Поблагодарили: 2881 раз
Репутация:   294  


можно и не закидывать. если у вас гордый самопис, вполне бывает подобное:
http://site.ru/index.php?file=index.html
и в скрипте
Код
<?php
...
readfile($_GET['file']);

соответственно, передав в запросе:
http://site.ru/index.php?file=../password.txt
получим обращение к файлу /home/login/www/сайт/../password.txt что разворачивается в /home/login/www/password.txt
но, как уже подметил anchous, для этого (помимо наличия скрипта с инъекцией) нужно знать имя файла.

но можно и закинуть скрипт, если будет передаться не только имя, но и произвольный текст, который записывается в файл $_GET['file'], узнать структуру (в пределах open_basedir текущего виртуального хоста) становится вообще тривиальной задачей.


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Timis
Timis
Topic Starter сообщение 31.1.2014, 12:49; Ответить: Timis
Сообщение #10


Участник
***

Группа: User
Сообщений: 163
Регистрация: 5.3.2013
Поблагодарили: 23 раза
Репутация:   1  


Нет, к счастью, не самопис))

Понятно, спасибо!

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой
или обратитесь к любому из модераторов.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Горячая тема (нет новых ответов) ApiSystem.ru - открытый доступ к Контентному API Яндекс.Маркет
63 zuziken 50001 11.5.2018, 10:18
автор: zuziken
Открытая тема (нет новых ответов) Продам 4 английских каталога сайтов
в 2 раза дешевле себестоимости
9 autonew 1774 7.5.2018, 12:55
автор: tomk
Открытая тема (нет новых ответов) Самара, вебмастер/менеджер проектов, от 35 000 руб. и выше
1 Koreps 514 8.4.2018, 2:37
автор: rasul
Открытая тема (нет новых ответов) Куплю домен с ТИЦ от 30 и выше
(возрастом от 6 месяцев)
9 Cesar 2775 4.4.2018, 1:08
автор: Cesar
Открытая тема (нет новых ответов) как текст поднять выше товаров?
как текст поднять выше товаров?
1 suhhi 551 11.3.2018, 22:56
автор: WoWeb


 



RSS Текстовая версия Сейчас: 21.5.2018, 15:36
Дизайн