Directory Trasversal
Classifica Articoli e Pagine
Privacy e cookie: Questo sito utilizza cookie. Continuando a utilizzare questo sito web, si accetta l’utilizzo dei cookie.
Per ulteriori informazioni, anche su controllo dei cookie, leggi qui: Informativa sui cookie
Per ulteriori informazioni, anche su controllo dei cookie, leggi qui: Informativa sui cookie
Analisi SEO
Geo IP Site
Htaccess
- Redirec Nuova Directory vecchia directory
- Redirect Vecchio Url nuovo url
- Redirect Nuovo Dominio Vecchio Dominio
Tipi di articoli
Categorie
Categorie
Tag
Anno
Tipi di articoli
Categorie
Categorie
Tag
Anno
L | M | M | G | V | S | D |
---|---|---|---|---|---|---|
1 | ||||||
2 | 3 | 4 | 5 | 6 | 7 | 8 |
9 | 10 | 11 | 12 | 13 | 14 | 15 |
16 | 17 | 18 | 19 | 20 | 21 | 22 |
23 | 24 | 25 | 26 | 27 | 28 | 29 |
30 | 31 |
Legge sui Cookies
Utilizziamo i cookie sul nostro sito Web per offrirti l'esperienza più pertinente ricordando le tue preferenze e ripetendo le visite. Cliccando su "Accetta" acconsenti all'uso di TUTTI i cookie. Puoi visionare la nostra politica sui Cookie alla Pagina sulla Cookie Policy . Nella pagina potrai trovare tutti i cookie che il sito utilizza e il trattamento che viene effettuato sui cookie stessi , sul sito dove vengono immagazzinati e sul trattamento a cui sono sottoposti.Per ogni dubbio o approfondimento ti invitiamo a contattarci grazie al nostro modulo di contatto
Privacy & Cookies Policy
Privacy
Questo sito Web utilizza i cookie per migliorare la tua esperienza durante la navigazione nel sito Web. Di questi cookie, i cookie classificati come necessari vengono memorizzati nel browser in quanto sono essenziali per il funzionamento delle funzionalità di base del sito Web. Utilizziamo anche cookie di terze parti che ci aiutano ad analizzare e capire come utilizzi questo sito web. Questi cookie verranno memorizzati nel tuo browser solo con il tuo consenso. Hai anche la possibilità di disattivare questi cookie. Ma la disattivazione di alcuni di questi cookie potrebbe avere un effetto sulla tua esperienza di navigazione.
I cookie necessari sono assolutamente essenziali per il corretto funzionamento del sito web. Questa categoria include solo i cookie che garantiscono funzionalità di base e caratteristiche di sicurezza del sito web. Questi cookie non memorizzano alcuna informazione personale.
Tutti i cookie che potrebbero non essere particolarmente necessari per il funzionamento del sito Web e vengono utilizzati specificamente per raccogliere dati personali dell\'utente tramite analisi, pubblicità, altri contenuti incorporati sono definiti come cookie non necessari. È obbligatorio ottenere il consenso dell\'utente prima di eseguire questi cookie sul tuo sito web.
%d blogger hanno fatto clic su Mi Piace per questo:
Quando si parla di Directory Trasversal ci si riferisce ad una nuova tipologia di attacco PHP. Ossia un utente che sia o meno autenticato chiede di visualizzare oppure eseguire file esterni alla directory che ha visulaizzato il codice che stiamo vedendo nel browser. Ossia un utente a questo punto un male intenzionato chiamiamolo pure hacker sta cercando di accedere a dei file di cui non dovrebbe avere il permesso all’accesso. Comunemente questo accade a causa di permessi delle directory che sono stati erroneamente configurati. Questo purtroppo aggrava il problema.
Facciamo un esempio . Pensiamo di avere un file il cui codice php è il seguente
e al file get gli mettiamo nella barra degli indirizzi del borwser qualcosa del tipo /etc/passwd
in modo da avere
In questa maniera l’include sarà puntato nella directory password. Ammettiamo adesso che per errore o disattenzione quello che sia i permessi della cartella passwd siano rimasti su readble.
In questo caso avremo in output tutti i dati e i file della cartella. Dal cui nome si comprende perfettamente l’importanza….
Ovviamente non sempre si puo’ avere accesso al server e quindi impedire la lettura di determinate cartelle. Si puo’ limitare l’accesso della lettura ai crawler tramite robots.txt, ma sicuramente non agli hacker.
Ma ci sono due funizoni php che ci vengono incontro nella difesa.
Funzione Realname() Basename() PHP contro gli Hacker Directory Trasversal
La funzione Basename() restituisce unicamente il nome file di un determinato percorso / file
ad esempio
E la funzione realname() che restituisce il percorso assoluto solo se il file esiste e se lo scopit in esecuzione disponde delle autorizzazioni eseguibili su tutte le directoty richieste.
Ad esempio
Questo per dirvi dalla combinazione di queste due funzioni avremmo il codice sicuro.
Con queste accortezze se noi riproviamo nel browser l’ipotietico file
otterremmo la pagina vuota, ossia non verrà passato nessun dato e i nostri dati dentro la cartella passwd saranno al sicuro da eventuali intrusioni. Ma un hacker esperto può aggirare facilmente questo blocco riscrivendo ad esempio nella barra degli indirizzi come
Ovviamente anche qui il problema è risolvibile intercettando e controllando la stringa con la gestione delle stringe in PHP
Ma il problema rimane comunque lo stesso . Ossia una continua lotta fra l’hacking e il defender.
Condividi:
Mi piace: