Curiosità show_source

Allora volevo sapere se in qualche modo si poteva aggirare il parser che esegue lo script in php sul nostro server.

Mi spiego meglio io uppo su un mio spazio web uno script in php e poi lo richiamo con la funzione show_source, questo mi ridà il codice php, grazie al fatto che il codice che ho richiamato si trova sullo stesso server, io vorrei sapere se esisteva un modo per aggirare codesto sistema in modo tale da richiamare anche il codice esterno al nostro server e baipassando il parser che esegue lo script sul server appunto.

inviato 9 anni fa
DaD
DaD
1
X 0 X

esterno al server?!?!?

direi proprio di no! (a meno che tu non abbia il controllo anche dell'altro server) pensaci bene, chi è che vorrebbe una cosa del genere? allora io dal mio sito potrei leggere la sorgente del file di configurazione del tuo sito...con tanto di password del DB etc.

se però vuoi solo eseguire da un sito, funzioni che si trovano su un'altro server ci sono i Web Services

risposto 9 anni fa
Xscratch
modificato 9 anni fa
X 0 X

esterno al server?!?!?

direi proprio di no! (a meno che tu non abbia il controllo anche dell'altro server) pensaci bene, chi è che vorrebbe una cosa del genere? allora io dal mio sito potrei leggere la sorgente del file di configurazione del tuo sito...con tanto di password del DB etc.

Si lo so che non sarebbe il massimo però per tutelarsi uno le cose le deve pur sapere no? :P

se però vuoi solo eseguire da un sito, funzioni che si trovano su un'altro server ci sono i Web Services

Non credo di aver capito ... cioè io ho una funzione su un server e voglio eseguirla su un'altro script che ho hostato su di un altro server e posso farlo ugualmente?

risposto 9 anni fa
DaD
DaD
1
X 0 X

Si tramite un metodo che si chiama SOAP...purtroppo non so dirti molto di più in quanto finora ho utilizzato SOAP solo come utente e mai da sviluppatore, però posso rimandarti quì:

http://xml.html.it/guide/leggi/100/guida-web-service/

risposto 9 anni fa
Xscratch
X 0 X

Si tramite un metodo che si chiama SOAP...purtroppo non so dirti molto di più in quanto finora ho utilizzato SOAP solo come utente e mai da sviluppatore, però posso rimandarti quì:

http://xml.html.it/guide/leggi/100/guida-web-service/

Grazie ci darò un'occhiata ;)

Cmq ho appena scoperto che se ad esempio una variabile presenta delle falle pesanti per quanto riguarda i dati ricevuti in input e il safe mode non è abilitato vi è modo di visualizzare in pratica tutto quello che si vuole all'interno del server.

<?
   show_source('cartella/'.$nome.'.php');
   show_source('cartella/'.$_GET['nome'].'.php');
   show_source('cartella/'.$_GET['nome'].'.inc');
?>

Passando in questo modo i valori e richiamandoli in questo modo ad esempio http://[target]/%5Bpath%5D/script.php?nome=../../../../index potrei fare danni!

risposto 9 anni fa
DaD
DaD
1
X 0 X

non è necessario utilizzare SOAP per lanciare uno script presente su un altro sito, basta anche usare le funzioni curl o semplicemente fopen (ma deve essere abilitato l'uso di URL nell'fopen)

SOAP è un protocollo molto più complesso e potente per l'interazione tra web service

 :bye:

risposto 9 anni fa
Gianni Tomasicchio
X 0 X

 :-[

risposto 9 anni fa
Xscratch
X 0 X
Effettua l'accesso o registrati per rispondere a questa domanda